QuickTimeが悪質なムービーやイメージの犠牲に 2009年9月9日
QuickTimeが悪質なムービーやイメージの犠牲に
危険度:中
2009年9月9日
【概要】
【詳細】
米国時間の9月9日、アップルはWindowsおよびMacintosh OS Xを対象とした同社の人気メディア・プレーヤー「QuickTime」に見られる4つの脆弱性を修正するセキュリティ・アップデートを公開した。各脆弱性は技術的には異なるが、その行動範囲と影響は同じであり、いずれも様々なバッファ・オーバーフローやメモリ破損問題に関与している。細工したムービー・ファイルやイメージ・ファイルをユーザが閲覧するように誘導することで、攻撃者は4つのQuickTime欠陥のうち1つを悪用し、ユーザのコンピュータでコードを実行することができる(QuickTimeをクラッシュさせる場合もあるが、これはさほど気掛かりなものではない)。MPEG-4やH.264、FlashPixといったファイルも、この攻撃において脆弱である。この脆弱性はWindowsやOS Xコンピュータで悪用される可能性があり、その攻撃結果も異なる。しかし、OS Xでは通常のユーザ特権とルートや管理者の特権を区別するため、攻撃者がこれを悪用しても獲得できるのはログインしているユーザの特権のみである。このため、攻撃者がこうした欠陥を悪用することでOS Xコンピュータを完全に操作できるようにはならない。しかし、大方のWindowsユーザにはローカル管理者の特権があるため、攻撃者はこの欠陥を利用してWindowsコンピュータを完全に操作することが可能となる。
【対策】
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.6.4をリリースしているので、WindowsとOS Xの管理者は、できる限り早急に状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。QuickTimeをダウンロードするとiTunesもバンドルされてくるが、iTunes には同アプリケーション固有のセキュリティ問題があるため、QuickTimeのみのダウンロードを選択することをすすめる。
【全ユーザ対象】
QuickTimeは様々なメディアタイプを処理するため(ビジネス上必要なものもある)、こうした問題の影響を受けやすいファイルタイプをファイアウォールでブロックしてしまうと、仕事に差し支えることもありえる。このためアップルが提供しているフィックスをダウンロードすることが対策としてはベストだろう。
【ステータス】
アップルはこうした問題を修正するアップデートをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年9月9日
【概要】
- 対象:
OS XやWindowsで使用しているQuickTime - 攻撃方法:
悪質なリンクをユーザがクリックしたり、細工したムービー・ファイルをユーザが閲覧するように攻撃者が誘導する - 影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる - 対策:
Windows やOS X 用のQuickTime 7.6.4をダウンロードしインストールすること
【詳細】
米国時間の9月9日、アップルはWindowsおよびMacintosh OS Xを対象とした同社の人気メディア・プレーヤー「QuickTime」に見られる4つの脆弱性を修正するセキュリティ・アップデートを公開した。各脆弱性は技術的には異なるが、その行動範囲と影響は同じであり、いずれも様々なバッファ・オーバーフローやメモリ破損問題に関与している。細工したムービー・ファイルやイメージ・ファイルをユーザが閲覧するように誘導することで、攻撃者は4つのQuickTime欠陥のうち1つを悪用し、ユーザのコンピュータでコードを実行することができる(QuickTimeをクラッシュさせる場合もあるが、これはさほど気掛かりなものではない)。MPEG-4やH.264、FlashPixといったファイルも、この攻撃において脆弱である。この脆弱性はWindowsやOS Xコンピュータで悪用される可能性があり、その攻撃結果も異なる。しかし、OS Xでは通常のユーザ特権とルートや管理者の特権を区別するため、攻撃者がこれを悪用しても獲得できるのはログインしているユーザの特権のみである。このため、攻撃者がこうした欠陥を悪用することでOS Xコンピュータを完全に操作できるようにはならない。しかし、大方のWindowsユーザにはローカル管理者の特権があるため、攻撃者はこの欠陥を利用してWindowsコンピュータを完全に操作することが可能となる。
【対策】
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.6.4をリリースしているので、WindowsとOS Xの管理者は、できる限り早急に状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。QuickTimeをダウンロードするとiTunesもバンドルされてくるが、iTunes には同アプリケーション固有のセキュリティ問題があるため、QuickTimeのみのダウンロードを選択することをすすめる。
【全ユーザ対象】
QuickTimeは様々なメディアタイプを処理するため(ビジネス上必要なものもある)、こうした問題の影響を受けやすいファイルタイプをファイアウォールでブロックしてしまうと、仕事に差し支えることもありえる。このためアップルが提供しているフィックスをダウンロードすることが対策としてはベストだろう。
【ステータス】
アップルはこうした問題を修正するアップデートをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。