ゼロデイRTSPセキュリティ・ホール、クイックタイムに問題【アップデート】 2008年2月6日
アップデート:
ゼロデイRTSPセキュリティ・ホール、クイックタイムに問題
危険度:高
2008年2月6日
【アップデート】
2008年1月11日、ライブセキュリティはウィンドウズやMacコンピューターにおいて悪用の恐れがあるクイックタイム・メディア・プレイヤーのセキュリティ問題について報告した。その時点では修正プログラムが入手可能になり次第、連絡すると伝えたが、米国時間の2月6日、アップルはそのアップデートをリリースした。
クイックタイムがリアルタイム・ストリーミング・プロトコル(RTSP)を処理する方法に関与するバッファ・オーバーフロー問題は、攻撃者が細工したRTSPファイルを被害者が開いた場合、攻撃者が被害者のコンピューターでコードを実行できるようにした。クイックタイム7.4.1は、その問題を修正している。
このセキュリティ問題は、アップルへの警告なしにコンセプトの証明(PoC)コードと共に一般にリリースされた。 ライブセキュリティでは先月、このPoCコードを実際の攻撃で実行できるように改変できることを確認している。 このPoCは、ほぼ1ヵ月に渡り広く利用可能となっていたため、この問題はクイックタイムやiTunesユーザーに対し、深刻なリスクを掲げていると我々は見ている(現バージョンのiTunesにもクイックタイムが搭載されている)。アップルのこのようなマルチメディア製品を使用している場合は、同社のダウンロード・サイトで入手可能となっているクイックタイム7.4.1に至急アップデートすることをすすめる。
このセキュリティ問題の詳細については、ライブセキュリティが1月11日に配信した次のアラートを参照することをすすめる。
危険度:高
2008年2月6日
【アップデート】
2008年1月11日、ライブセキュリティはウィンドウズやMacコンピューターにおいて悪用の恐れがあるクイックタイム・メディア・プレイヤーのセキュリティ問題について報告した。その時点では修正プログラムが入手可能になり次第、連絡すると伝えたが、米国時間の2月6日、アップルはそのアップデートをリリースした。
クイックタイムがリアルタイム・ストリーミング・プロトコル(RTSP)を処理する方法に関与するバッファ・オーバーフロー問題は、攻撃者が細工したRTSPファイルを被害者が開いた場合、攻撃者が被害者のコンピューターでコードを実行できるようにした。クイックタイム7.4.1は、その問題を修正している。
このセキュリティ問題は、アップルへの警告なしにコンセプトの証明(PoC)コードと共に一般にリリースされた。 ライブセキュリティでは先月、このPoCコードを実際の攻撃で実行できるように改変できることを確認している。 このPoCは、ほぼ1ヵ月に渡り広く利用可能となっていたため、この問題はクイックタイムやiTunesユーザーに対し、深刻なリスクを掲げていると我々は見ている(現バージョンのiTunesにもクイックタイムが搭載されている)。アップルのこのようなマルチメディア製品を使用している場合は、同社のダウンロード・サイトで入手可能となっているクイックタイム7.4.1に至急アップデートすることをすすめる。
このセキュリティ問題の詳細については、ライブセキュリティが1月11日に配信した次のアラートを参照することをすすめる。