アップル、QuickTimeのセキュリティ・ホール11件を修正 2008年4月3日
アップル、QuickTimeのセキュリティ・ホール11件を修正
危険度:高
日付:2008年4月3日
【概要】
・対象:
Mac及びPCのクイックタイム7.4.x バージョン(それ以前のバージョンへの影響の可能性もあり)
・悪用法:
攻撃方法は多々あるが、細工したムービーや画像をユーザーにクイックタイムでダウンロードさせ、それらを再生させる方法がよく見られる。
・影響:
様々な攻撃結果があるが最悪な場合、攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを完全にコントロールできるようになる。
・対策:
クイックタイム(又はiTunes)の使用を許可している場合は、バージョン7.4.5にアップグレードすること。それ以外の場合は、企業のコンピューターから問題のアプリケーションを除去すること。
【問題の詳細】
米国時間の4月3日、アップルは同社の好評なメディア再生アプリケーションであるQuickTime(クイックタイム)に見られた脆弱性11件を修正、セキュリティ・アラートをリリースした。iTunesの現バージョンにもクイックタイムは搭載されているため、ユーザーがiTunesを使用している場合はおそらくクイックタイムも所持していることだろう。こうしたアプリケーションはウィンドウズ及びMacコンピューターで使用することができ、どちらのプラットフォームも、このセキュリティ欠陥の悪用に脆弱である。アップルのアラートはVista及びXP SP2がウィンドウズの脆弱なバージョンであると指定している。
写真のファイルを開くこと、ムービー・ファイルの表示、そしてムービーのメディア・トラックの処理法といったように、こうした脆弱性はそれぞれクイックタイムの異なったプロセスに関与している。脆弱性の中には、攻撃者がユーザーのOS Xマシーンで任意にコードを選び、それを実行できるようにするものもあるため、ライブセキュリティではこのアップデートを「重要」レベルと見ている。クイックタイムの使用を許可している場合は、できる限り早急にこのアップデートを適用することをすすめる。修正プログラムで取り上げられている脆弱性は次の通り。
・ムービー処理のコード実行問題(複数あり)
クイックタイムは、ムービー・ファイルの再生に関与する問題(5件)の影響を受けている(主にバッファ・オーバーフロー問題)。
それぞれ技術的には異なるものの、その影響力や対象範囲は全て同じである。
攻撃者はこうしたセキュリティ問題のいづれかを悪用し、ユーザーの権限と特権を備えた上でユーザーのコンピューターにて
コードを実行することができる。
・イメージ処理のコード実行問題(複数あり)
クイックタイムは「.PICT」イメージ・ファイルの処理に関与する3件のバッファ・オーバーフロー問題を抱えている。
上記のムービー再生問題と同様に、この3つの問題はそれぞれ技術的に異なるものの、その影響力と対象範囲は
同じである。
細工した「.PICT」イメージをユーザーがクイックタイムで開くように仕掛けると、攻撃者はいづれかの欠陥を悪用し
ユーザーの権限を備えた上で、ユーザーのMacでコードを実行することができる。
・VRムービーのバッファ・オーバーフロー問題
クイックタイムは「クイックタイム・バーチャル・リアリティ(VR)」又はQTVRイメージ・ファイルをサポートする。
パノラマ式のイメージを繋ぎ合わせることで1つの特別なイメージ・ファイルにし、ユーザーはクイックタイムを使って
3Dシミュレーションでそれを見ることができる。
ところが、クイックタイムは細工されたQTVRイメージの処理に関与するバッファ・オーバーフローの影響を受けている。
攻撃者は、細工したQTVRイメージをユーザーに開かせることに成功すると、欠陥を悪用してユーザーの権限を備えた上で
そのユーザーのコンピューターでコードを実行できるようになる。
アップルがリリースしたセキュリティ・アラートでは、上記した問題の他にもコード実行の欠陥や情報開示の脆弱性についても説明されている。クイックタイムの欠陥に関する詳細については、アップルのセキュリティ・アラートを参照することをすすめる。
【対策】
アップルは、こうしたセキュリティ問題を修正するクイックタイム7.4.5バージョンをリリースしている。クイックタイムやiTunesの使用をネットワークで許可している場合や、ユーザーがそれらをインストールしているであろうと思われる場合は、問題のアプリケーションを除去するか、7.4.5バージョンをインストールすることをすすめる。(日本語サイト)
ウィンドウズ用の最新バージョンのクイックタイムとiTunesは、アップルのソフトウェア・アップデートに搭載されている。アップルのソフトウェア・アップデートは、このようなアップデートを自動的にチェックしてユーザーに知らせるため、ユーザーはいち早くアップデートをインストールすることができる。クイックタイムやiTunesの使用をネットワークで許可している場合は、新しいアップデートを毎日チェックするためにアップルのソフトウェア・アップデートをセットし、ソフトウェアを常に最新のものにしておくことをすすめる。
注意:
アップルは先頃、ソフトウェア・アップデートでSafariがインストールされていなかったウィンドウズ・コンピューターにSafariの3.1バージョンを入れるようにした。使用しているコンピューターにSafariをインストールしたくない場合は、アップデート・オプションで見られる「Safari 3.1」のチェックを外すこと。又、アップルはディフォルトでクイックタイムとiTunesを組み合わせて出荷しているが、iTunesを必要としないユーザーにはスタンドアローン用のクイックタイムをダウンロードする方法がある。
ウォッチガード・ユーザー:
このような攻撃は、ユーザーがいくつものクイックタイム・ムービーやイメージ・ファイルタイプを開くことに依存する。マルチメディア・フォーマットの多くはビジネス上、正当なものであるためファイアウォールでカテゴリー別にブロックすることはおすすめできない。クイックタイムがサポートするメディア・タイプをすべてブロックしたいというのでなければ、ユーザーにクイックタイムやiTunesをコンピューターから除去させるか、アップルがリリースしたクイックタイムのアップデート版をできる限り早急にインストールさせることをすすめる。
【ステータス】
アップルは問題を修正するクイックタイムのバージョン7.4.5をリリースしている。
【参考資料】
・アップルのクイックタイムに関するアラート(日本語)
・アップルのソフトウェア・ダウンロード先(英語版)
・アップルのソフトウェア・ダウンロード先(日本語版)
・アップルのセキュリティ・アップデート(日本語)
このアラートは、コーリー・ナクライナー(CISSP)により調査され書かれた記事です。
危険度:高
日付:2008年4月3日
【概要】
・対象:
Mac及びPCのクイックタイム7.4.x バージョン(それ以前のバージョンへの影響の可能性もあり)
・悪用法:
攻撃方法は多々あるが、細工したムービーや画像をユーザーにクイックタイムでダウンロードさせ、それらを再生させる方法がよく見られる。
・影響:
様々な攻撃結果があるが最悪な場合、攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを完全にコントロールできるようになる。
・対策:
クイックタイム(又はiTunes)の使用を許可している場合は、バージョン7.4.5にアップグレードすること。それ以外の場合は、企業のコンピューターから問題のアプリケーションを除去すること。
【問題の詳細】
米国時間の4月3日、アップルは同社の好評なメディア再生アプリケーションであるQuickTime(クイックタイム)に見られた脆弱性11件を修正、セキュリティ・アラートをリリースした。iTunesの現バージョンにもクイックタイムは搭載されているため、ユーザーがiTunesを使用している場合はおそらくクイックタイムも所持していることだろう。こうしたアプリケーションはウィンドウズ及びMacコンピューターで使用することができ、どちらのプラットフォームも、このセキュリティ欠陥の悪用に脆弱である。アップルのアラートはVista及びXP SP2がウィンドウズの脆弱なバージョンであると指定している。
写真のファイルを開くこと、ムービー・ファイルの表示、そしてムービーのメディア・トラックの処理法といったように、こうした脆弱性はそれぞれクイックタイムの異なったプロセスに関与している。脆弱性の中には、攻撃者がユーザーのOS Xマシーンで任意にコードを選び、それを実行できるようにするものもあるため、ライブセキュリティではこのアップデートを「重要」レベルと見ている。クイックタイムの使用を許可している場合は、できる限り早急にこのアップデートを適用することをすすめる。修正プログラムで取り上げられている脆弱性は次の通り。
・ムービー処理のコード実行問題(複数あり)
クイックタイムは、ムービー・ファイルの再生に関与する問題(5件)の影響を受けている(主にバッファ・オーバーフロー問題)。
それぞれ技術的には異なるものの、その影響力や対象範囲は全て同じである。
攻撃者はこうしたセキュリティ問題のいづれかを悪用し、ユーザーの権限と特権を備えた上でユーザーのコンピューターにて
コードを実行することができる。
・イメージ処理のコード実行問題(複数あり)
クイックタイムは「.PICT」イメージ・ファイルの処理に関与する3件のバッファ・オーバーフロー問題を抱えている。
上記のムービー再生問題と同様に、この3つの問題はそれぞれ技術的に異なるものの、その影響力と対象範囲は
同じである。
細工した「.PICT」イメージをユーザーがクイックタイムで開くように仕掛けると、攻撃者はいづれかの欠陥を悪用し
ユーザーの権限を備えた上で、ユーザーのMacでコードを実行することができる。
・VRムービーのバッファ・オーバーフロー問題
クイックタイムは「クイックタイム・バーチャル・リアリティ(VR)」又はQTVRイメージ・ファイルをサポートする。
パノラマ式のイメージを繋ぎ合わせることで1つの特別なイメージ・ファイルにし、ユーザーはクイックタイムを使って
3Dシミュレーションでそれを見ることができる。
ところが、クイックタイムは細工されたQTVRイメージの処理に関与するバッファ・オーバーフローの影響を受けている。
攻撃者は、細工したQTVRイメージをユーザーに開かせることに成功すると、欠陥を悪用してユーザーの権限を備えた上で
そのユーザーのコンピューターでコードを実行できるようになる。
アップルがリリースしたセキュリティ・アラートでは、上記した問題の他にもコード実行の欠陥や情報開示の脆弱性についても説明されている。クイックタイムの欠陥に関する詳細については、アップルのセキュリティ・アラートを参照することをすすめる。
【対策】
アップルは、こうしたセキュリティ問題を修正するクイックタイム7.4.5バージョンをリリースしている。クイックタイムやiTunesの使用をネットワークで許可している場合や、ユーザーがそれらをインストールしているであろうと思われる場合は、問題のアプリケーションを除去するか、7.4.5バージョンをインストールすることをすすめる。(日本語サイト)
ウィンドウズ用の最新バージョンのクイックタイムとiTunesは、アップルのソフトウェア・アップデートに搭載されている。アップルのソフトウェア・アップデートは、このようなアップデートを自動的にチェックしてユーザーに知らせるため、ユーザーはいち早くアップデートをインストールすることができる。クイックタイムやiTunesの使用をネットワークで許可している場合は、新しいアップデートを毎日チェックするためにアップルのソフトウェア・アップデートをセットし、ソフトウェアを常に最新のものにしておくことをすすめる。
注意:
アップルは先頃、ソフトウェア・アップデートでSafariがインストールされていなかったウィンドウズ・コンピューターにSafariの3.1バージョンを入れるようにした。使用しているコンピューターにSafariをインストールしたくない場合は、アップデート・オプションで見られる「Safari 3.1」のチェックを外すこと。又、アップルはディフォルトでクイックタイムとiTunesを組み合わせて出荷しているが、iTunesを必要としないユーザーにはスタンドアローン用のクイックタイムをダウンロードする方法がある。
ウォッチガード・ユーザー:
このような攻撃は、ユーザーがいくつものクイックタイム・ムービーやイメージ・ファイルタイプを開くことに依存する。マルチメディア・フォーマットの多くはビジネス上、正当なものであるためファイアウォールでカテゴリー別にブロックすることはおすすめできない。クイックタイムがサポートするメディア・タイプをすべてブロックしたいというのでなければ、ユーザーにクイックタイムやiTunesをコンピューターから除去させるか、アップルがリリースしたクイックタイムのアップデート版をできる限り早急にインストールさせることをすすめる。
【ステータス】
アップルは問題を修正するクイックタイムのバージョン7.4.5をリリースしている。
【参考資料】
・アップルのクイックタイムに関するアラート(日本語)
・アップルのソフトウェア・ダウンロード先(英語版)
・アップルのソフトウェア・ダウンロード先(日本語版)
・アップルのセキュリティ・アップデート(日本語)
このアラートは、コーリー・ナクライナー(CISSP)により調査され書かれた記事です。