クイックタイムの問題9件がOS XとWindowsに影響 2008年9月9日
クイックタイムの問題9件がOS XとWindowsに影響
危険度:中
2008年9月9日
【概要】
対象:
OS X 10.4.x (Tiger) 、OS X 10.5.x (Leopard)、Windows XP、Windows Vista
悪用方法:
攻撃者は細工したムービーやPICT、QuickTime Virtual Reality (QTVR)などのファイルをユーザに閲覧させることで脆弱性を悪用する。
結果:
最悪の場合ユーザのコンピュータで攻撃者がコードを実行、そのコンピュータを完全に操作できるようになる。
対策:
WindowsやOS X対象のQuickTimeバージョン7.5.5をダウンロードし、テストしてから導入すること。
【詳細】
米国時間の9月9日、アップルはWindowsおよびMacintosh OS Xを対象とした同社の人気メディア・プレーヤー、QuickTimeに見られるセキュリティ問題を修正するセキュリティ・アップデートをリリースした。このセキュリティ問題(9件)は、特定のファイルタイプをQuickTimeが処理する方法に関与しているが、アップルがリリースしたセキュリティ・アップデートで問題を修正できる(数字はCVE-IDによるもの)。一般のユーザによって広く利用されているファイルタイプを悪用するのは9件の問題の一部である上、現時点ではこの問題を悪用する活発な動きがインターネット上で見られないため、この危険性の評価は「中」とする。管理者は、都合がつき次第アップデートを導入することをすすめる。
このアップデートで修正された問題は次の通り:
【対策】
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.5.5をリリースしているので、WindowsとOS Xの管理者は都合がつき次第、状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。QuickTimeをダウンロードするとバンドルでiTunesも付いてくるようになっているが、iTunesにはiTunesのセキュリティ問題が見られることが多々あるため、QuickTimeだけをダウンロードするオプションを選択することをすすめる。
全ユーザ対象:
最近ではビジネス上必要なものも含めQuickTimeは様々なメディアタイプを処理することから、悪用可能なファイルをファイアウォールでブロックすると仕事に差し支えが生じる場合もあるだろう。このため、アップルが提供しているフィックスをダウンロードすることが最適なソリューションとなる。
ステータス:
アップルは問題を修正するアップデートをリリースしている。
参考資料:
・アップルのQuickTimeに関するアドバイザリ(8月分) (英語)
この記事はスコット・ピンゾン(Scott Pinzon, CISSP)によって調査され書かれた記事です。
危険度:中
2008年9月9日
【概要】
対象:
OS X 10.4.x (Tiger) 、OS X 10.5.x (Leopard)、Windows XP、Windows Vista
悪用方法:
攻撃者は細工したムービーやPICT、QuickTime Virtual Reality (QTVR)などのファイルをユーザに閲覧させることで脆弱性を悪用する。
結果:
最悪の場合ユーザのコンピュータで攻撃者がコードを実行、そのコンピュータを完全に操作できるようになる。
対策:
WindowsやOS X対象のQuickTimeバージョン7.5.5をダウンロードし、テストしてから導入すること。
【詳細】
米国時間の9月9日、アップルはWindowsおよびMacintosh OS Xを対象とした同社の人気メディア・プレーヤー、QuickTimeに見られるセキュリティ問題を修正するセキュリティ・アップデートをリリースした。このセキュリティ問題(9件)は、特定のファイルタイプをQuickTimeが処理する方法に関与しているが、アップルがリリースしたセキュリティ・アップデートで問題を修正できる(数字はCVE-IDによるもの)。一般のユーザによって広く利用されているファイルタイプを悪用するのは9件の問題の一部である上、現時点ではこの問題を悪用する活発な動きがインターネット上で見られないため、この危険性の評価は「中」とする。管理者は、都合がつき次第アップデートを導入することをすすめる。
このアップデートで修正された問題は次の通り:
- QuickTimeがムービー・ファイルを処理する方法に関与するセキュリティ問題
- QuickTimeがPICT画像を処理する方法に関与するセキュリティ問題
【対策】
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.5.5をリリースしているので、WindowsとOS Xの管理者は都合がつき次第、状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。QuickTimeをダウンロードするとバンドルでiTunesも付いてくるようになっているが、iTunesにはiTunesのセキュリティ問題が見られることが多々あるため、QuickTimeだけをダウンロードするオプションを選択することをすすめる。
- Windows対象のQuickTime 7.5.5
- Leopard対象のQuickTime 7.5.5(Mac OS X 10.5 またはそれ以降のバージョン)
- Tiger対象のQuickTime 7.5.5 (Mac OS X 10.4.x)
全ユーザ対象:
最近ではビジネス上必要なものも含めQuickTimeは様々なメディアタイプを処理することから、悪用可能なファイルをファイアウォールでブロックすると仕事に差し支えが生じる場合もあるだろう。このため、アップルが提供しているフィックスをダウンロードすることが最適なソリューションとなる。
ステータス:
アップルは問題を修正するアップデートをリリースしている。
参考資料:
・アップルのQuickTimeに関するアドバイザリ(8月分) (英語)
この記事はスコット・ピンゾン(Scott Pinzon, CISSP)によって調査され書かれた記事です。