Quicktime の問題 2007年7月16日
注記: 当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。
ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
■Quicktime の問題■
危険度:高
日付:2007年7月16日
【概要:】
米国時間の7月11日、アップルはWindows XP、Windows Vista、OS Xを対象にしたQuicktime 7.2までの全バージョンに対し、8つのセキュリティ脆弱性を修正したアップデートをリリースした。
攻撃者は不正作成したウェブ・ページにユーザーを誘い込み、悪性のムービー・ファイルを閲覧させると、脆弱性を悪用しユーザーのコンピューターで攻撃コードを悪用することができる。
場合によっては、攻撃者はそのコンピューターのコントロール権も獲得することが可能だ。
QuicktimeやiTunesをネットワークで許可している場合は(ユーザーがインストールしている可能性がある場合も同様)、ユーザーに問題のアプリケーションを除去させるか、アップルのQuicktime 7.2アップデートをインストールすることを勧める。
【問題の詳細:】
アップルは、同社の人気のあるメディア・プレイヤー・アプリケーション、Quicktimeに存在する8つのセキュリティ問題に関するアラートをリリースした。
現バージョンのiTunesは、Quicktimeと共に出荷されている。このため、iTunesを使用している場合はQuicktimeもインストールしていることだろう。 こうしたアプリケーションは、Windows及びMacintoshコンピューターのどちらでも実行できるため、脆弱性も両プラットフォームに影響を与える。
8つの脆弱性は、概して2つのカテゴリーに分けられる:
■メモリー破壊のエラー(4)
攻撃者が意図的にQuicktime準拠のファイルを作成し、被害者が悪性のファイルを再生すると、バッファ・オーバーフローがスタートする。
この問題をスタートさせるファイルは、H.264(別名:MPEG-4 AVC)、MPEG-2、.MOV(Quicktimeが通常使用するムービー・フォーマット)、SMIL(同期化マルチメディア統合言語)などにフォーマットされる。最悪の場合、攻撃者は被害者のコンピューターを完全にコントロールすることが可能になる。
■Javaアプレット処理の問題(4)
攻撃者は罠を仕掛けたウェブ・ページにQuicktimeユーザーを誘い込み、欠陥を悪用してJavaの通常のセキュリティ・チェックを迂回し、ユーザーのコンピューターでコードを実行する。
もう2つのJavaアプレットの欠陥は、攻撃者がユーザーのコンピューターの画面に何があるのかを見ることができるようにする。
このため、場合によっては、機密情報が公開されてしまったり、コンピューターのメモリーをコントロールされたり、攻撃コードをロードされたりする可能性もある。
アップルは攻撃者がこれを悪用した場合、どういったレベルの権限を攻撃者が獲得できるのか特定していない。
【対策:】
アップルは、こうした脆弱性を修正するQuicktime 7.2のアップデートをリリースしている。
ネットワークでQuicktimeやiTunesの使用を許可している場合、そうしたアプリケーションをユーザーに除去させるか、アップグレードをインストールすることを勧める。
ウィンドウズ対象のQuicktimeやiTunesの最新バージョンは、アップルのソフトウェア・アップデートと共に出荷されている。
「アップル・ソフトウェア・アップデート」は、Quicktimeなどのアップデートに自動的に気付き、それをユーザーに連絡することで、ユーザーができる限り早急にアップデートをインストールすることができるようにするものである。
ネットワークでQuicktimeやiTunesの使用を許可している場合は、毎日アップル・ソフトウェア・アップデートをチェックするように設定し、使用しているソフトウェアを最新のものにしておくことを勧める。
注意:
アップルはディフォルトでiTunesとQuicktimeを組み合わせて出荷している。
iTunesの必要がない場合は、スタンドアローン版のQuicktimeをダウンロードすること。
Quicktimeダウンロード先(日本語)
http://www.apple.com/jp/quicktime/home/win.html
■全ユーザー対象:
攻撃者は不正作成したムービーを再生したり、Javaアプレットをスタートさせたりすることで攻撃を成功させる。
ウォッチガードのFireboxシリーズの中には、ムービー・ファイルやJavaアプレットをダウンロードしないようにブロックし、こうした種類の攻撃を阻止できるものもある。
けれども、そうしたファイルをブロックすることで、正当なコンテンツもユーザーが閲覧できないようになることに注意しよう。
その代わり、QuicktimeやiTunesを除去するようにユーザーに伝えるか、できる限り早急にアップルのQuicktimeアップデートをダウンロードすることを勧める。
【ステータス:】
アップルはこの問題を修正するQuicktime 7.2のアップデートをリリースしている。
【参考資料:】
アップルのQuicktimeアラート(英文のみ)
http://docs.info.apple.com/article.html?artnum=305947
アップルのセキュリティ・アップデート(日本語)
http://docs.info.apple.com/article.html?artnum=61798-ja
調査・文:Scott Pinzon CISSP、Steve Fallin
ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
■Quicktime の問題■
危険度:高
日付:2007年7月16日
【概要:】
米国時間の7月11日、アップルはWindows XP、Windows Vista、OS Xを対象にしたQuicktime 7.2までの全バージョンに対し、8つのセキュリティ脆弱性を修正したアップデートをリリースした。
攻撃者は不正作成したウェブ・ページにユーザーを誘い込み、悪性のムービー・ファイルを閲覧させると、脆弱性を悪用しユーザーのコンピューターで攻撃コードを悪用することができる。
場合によっては、攻撃者はそのコンピューターのコントロール権も獲得することが可能だ。
QuicktimeやiTunesをネットワークで許可している場合は(ユーザーがインストールしている可能性がある場合も同様)、ユーザーに問題のアプリケーションを除去させるか、アップルのQuicktime 7.2アップデートをインストールすることを勧める。
【問題の詳細:】
アップルは、同社の人気のあるメディア・プレイヤー・アプリケーション、Quicktimeに存在する8つのセキュリティ問題に関するアラートをリリースした。
現バージョンのiTunesは、Quicktimeと共に出荷されている。このため、iTunesを使用している場合はQuicktimeもインストールしていることだろう。 こうしたアプリケーションは、Windows及びMacintoshコンピューターのどちらでも実行できるため、脆弱性も両プラットフォームに影響を与える。
8つの脆弱性は、概して2つのカテゴリーに分けられる:
■メモリー破壊のエラー(4)
攻撃者が意図的にQuicktime準拠のファイルを作成し、被害者が悪性のファイルを再生すると、バッファ・オーバーフローがスタートする。
この問題をスタートさせるファイルは、H.264(別名:MPEG-4 AVC)、MPEG-2、.MOV(Quicktimeが通常使用するムービー・フォーマット)、SMIL(同期化マルチメディア統合言語)などにフォーマットされる。最悪の場合、攻撃者は被害者のコンピューターを完全にコントロールすることが可能になる。
■Javaアプレット処理の問題(4)
攻撃者は罠を仕掛けたウェブ・ページにQuicktimeユーザーを誘い込み、欠陥を悪用してJavaの通常のセキュリティ・チェックを迂回し、ユーザーのコンピューターでコードを実行する。
もう2つのJavaアプレットの欠陥は、攻撃者がユーザーのコンピューターの画面に何があるのかを見ることができるようにする。
このため、場合によっては、機密情報が公開されてしまったり、コンピューターのメモリーをコントロールされたり、攻撃コードをロードされたりする可能性もある。
アップルは攻撃者がこれを悪用した場合、どういったレベルの権限を攻撃者が獲得できるのか特定していない。
【対策:】
アップルは、こうした脆弱性を修正するQuicktime 7.2のアップデートをリリースしている。
ネットワークでQuicktimeやiTunesの使用を許可している場合、そうしたアプリケーションをユーザーに除去させるか、アップグレードをインストールすることを勧める。
ウィンドウズ対象のQuicktimeやiTunesの最新バージョンは、アップルのソフトウェア・アップデートと共に出荷されている。
「アップル・ソフトウェア・アップデート」は、Quicktimeなどのアップデートに自動的に気付き、それをユーザーに連絡することで、ユーザーができる限り早急にアップデートをインストールすることができるようにするものである。
ネットワークでQuicktimeやiTunesの使用を許可している場合は、毎日アップル・ソフトウェア・アップデートをチェックするように設定し、使用しているソフトウェアを最新のものにしておくことを勧める。
注意:
アップルはディフォルトでiTunesとQuicktimeを組み合わせて出荷している。
iTunesの必要がない場合は、スタンドアローン版のQuicktimeをダウンロードすること。
Quicktimeダウンロード先(日本語)
http://www.apple.com/jp/quicktime/home/win.html
■全ユーザー対象:
攻撃者は不正作成したムービーを再生したり、Javaアプレットをスタートさせたりすることで攻撃を成功させる。
ウォッチガードのFireboxシリーズの中には、ムービー・ファイルやJavaアプレットをダウンロードしないようにブロックし、こうした種類の攻撃を阻止できるものもある。
けれども、そうしたファイルをブロックすることで、正当なコンテンツもユーザーが閲覧できないようになることに注意しよう。
その代わり、QuicktimeやiTunesを除去するようにユーザーに伝えるか、できる限り早急にアップルのQuicktimeアップデートをダウンロードすることを勧める。
【ステータス:】
アップルはこの問題を修正するQuicktime 7.2のアップデートをリリースしている。
【参考資料:】
アップルのQuicktimeアラート(英文のみ)
http://docs.info.apple.com/article.html?artnum=305947
アップルのセキュリティ・アップデート(日本語)
http://docs.info.apple.com/article.html?artnum=61798-ja
調査・文:Scott Pinzon CISSP、Steve Fallin