iTunesにセキュリティー欠陥。カバー・アートに注意! 2007年9月7日
i注記: 当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
iTunesにセキュリティー欠陥。カバー・アートに注意!
危険度:中
日付:2007年9月7日
【概要:】
昨日、アップル社は、Windows XP版とOS X版のiTunesに存在するセキュリティーの脆弱性を発表した。iTunesに存在するバッファー・オーバーフロー欠陥により、攻撃者は不正な音楽ファイルを作成し、その音楽ファイルをダウンロードし再生したコンピューター上で、iTunesをクラッシュさせたり、コードを実行することができるようになる。管理しているネットワーク内のコンピューターで正式にその使用が認められているかに限らず、iTunesのアプリケーションがインストールされている可能性がある場合は、すべてのiTunesアプリケーションをiTunesバージョン7.4にアップグレードするか、消去すべきである。
【問題の詳細:】
アップル社のアドバイザリーによると、iSecパートナーズ社のデビッド・シール氏が、アップル社の人気オンライン・ミュージック・ストアおよびデジタル・ジュークボックス・アプリケーションであるiTunesに存在するバッファー・オーバーフローの欠陥を発見したという。iTunesは、iPodプレーヤー機器と自動的に同期化することができるので、社内の規則で使用が承認されていなくても、会社のコンピューターにiTunesをインストールしている音楽愛好家がいる可能性が高い。
バッファー・オーバーフローの脆弱性は、音楽ファイルに存在するカバー・アートを解析するiTunesのコードにある。ユーザーが不正に作成された音楽ファイルをダウンロードし、開いてしまうと、攻撃者はこの欠陥を利用し、iTunesをクラッシュすることや、ユーザーのコンピューター上で不正なコードを実行することができる。アップル社は、この攻撃コードで適用される可能性のあるパーミッションや制限については言及していないが、似たようなケースでは通常、攻撃者はiTunesを実行しているユーザーと同様のパーミッションを得る。Windows環境では、攻撃者は通常、被害者のコンピューターのすべてのコントロール権を得ることができるだろう。
この脆弱性を発見した研究者デビッド・シール氏は、1ヵ月ほど前、ブラック・ハットで、害のないメディア・ファイルが、攻撃者によって悪用されてしまう隠れた媒介になる可能性があるという話をした。シール氏の発見については、詳しくは弊社が管理するポッドキャスト、Radio Free Securityの最新エピソードにあるシール氏のインタビューを聞いて欲しい。8月のエピソード「Inside the Estonian Cyber-Riot(エストニアのサイバー騒動の内側)」の17分目あたりからシール氏のインタビューが収められている。
【対策:】
このiTunesの欠陥を修正するため、アップル社はiTunes 7.4をWindows版とMac OS X版でリリースしている。もし、管理するネットワークでiTunesの使用を認めている場合は、すぐに、ユーザーにこのiTunesのバージョン7.4をダウンロードしてもらい、テストおよびインストールを行わせるべきである。
注意:アップル社は、iTunesをQuickTimeとパッケージにして配布している。アップル社は、QuickTimeだけのバージョンを提供しているが、iTunesだけのバージョンは提供していない。iTunesと一緒にQuicktimeを入手することで、潜在的な脆弱性も共に手に入れてしまうことを注意いただきたい。
【ステータス:】
アップル社は、この欠陥を修正するiTunes 7.4をリリースしている。
【参考資料 (英文):】
Apple's iTunes advisory
http://messenger.yahoo.com/security_update.php?id=082907
調査・文:Corey Nachreiner(コーリー・ナクライナー)CISSP
iTunesにセキュリティー欠陥。カバー・アートに注意!
危険度:中
日付:2007年9月7日
【概要:】
昨日、アップル社は、Windows XP版とOS X版のiTunesに存在するセキュリティーの脆弱性を発表した。iTunesに存在するバッファー・オーバーフロー欠陥により、攻撃者は不正な音楽ファイルを作成し、その音楽ファイルをダウンロードし再生したコンピューター上で、iTunesをクラッシュさせたり、コードを実行することができるようになる。管理しているネットワーク内のコンピューターで正式にその使用が認められているかに限らず、iTunesのアプリケーションがインストールされている可能性がある場合は、すべてのiTunesアプリケーションをiTunesバージョン7.4にアップグレードするか、消去すべきである。
【問題の詳細:】
アップル社のアドバイザリーによると、iSecパートナーズ社のデビッド・シール氏が、アップル社の人気オンライン・ミュージック・ストアおよびデジタル・ジュークボックス・アプリケーションであるiTunesに存在するバッファー・オーバーフローの欠陥を発見したという。iTunesは、iPodプレーヤー機器と自動的に同期化することができるので、社内の規則で使用が承認されていなくても、会社のコンピューターにiTunesをインストールしている音楽愛好家がいる可能性が高い。
バッファー・オーバーフローの脆弱性は、音楽ファイルに存在するカバー・アートを解析するiTunesのコードにある。ユーザーが不正に作成された音楽ファイルをダウンロードし、開いてしまうと、攻撃者はこの欠陥を利用し、iTunesをクラッシュすることや、ユーザーのコンピューター上で不正なコードを実行することができる。アップル社は、この攻撃コードで適用される可能性のあるパーミッションや制限については言及していないが、似たようなケースでは通常、攻撃者はiTunesを実行しているユーザーと同様のパーミッションを得る。Windows環境では、攻撃者は通常、被害者のコンピューターのすべてのコントロール権を得ることができるだろう。
この脆弱性を発見した研究者デビッド・シール氏は、1ヵ月ほど前、ブラック・ハットで、害のないメディア・ファイルが、攻撃者によって悪用されてしまう隠れた媒介になる可能性があるという話をした。シール氏の発見については、詳しくは弊社が管理するポッドキャスト、Radio Free Securityの最新エピソードにあるシール氏のインタビューを聞いて欲しい。8月のエピソード「Inside the Estonian Cyber-Riot(エストニアのサイバー騒動の内側)」の17分目あたりからシール氏のインタビューが収められている。
【対策:】
このiTunesの欠陥を修正するため、アップル社はiTunes 7.4をWindows版とMac OS X版でリリースしている。もし、管理するネットワークでiTunesの使用を認めている場合は、すぐに、ユーザーにこのiTunesのバージョン7.4をダウンロードしてもらい、テストおよびインストールを行わせるべきである。
注意:アップル社は、iTunesをQuickTimeとパッケージにして配布している。アップル社は、QuickTimeだけのバージョンを提供しているが、iTunesだけのバージョンは提供していない。iTunesと一緒にQuicktimeを入手することで、潜在的な脆弱性も共に手に入れてしまうことを注意いただきたい。
【ステータス:】
アップル社は、この欠陥を修正するiTunes 7.4をリリースしている。
【参考資料 (英文):】
Apple's iTunes advisory
http://messenger.yahoo.com/security_update.php?id=082907
調査・文:Corey Nachreiner(コーリー・ナクライナー)CISSP