QuickTimeとiTunes のパッチが複数の脆弱性を修正 2009年6月2日
QuickTimeと iTunes のパッチが複数の脆弱性を修正
危険度:中
2009年6月2日
【概要】
【詳細】
米国時間の6月1日、アップルはWindows およびOS X用のQuickTime 7.x とiTunes 8.x に見られた複数の脆弱性を修正するセキュリティ・アップデート2件をリリースした(QuickTime / iTunes)。 QuickTime のアップデートは、QuickTime が特定の画像やビデオ・ファイルを処理する方法に起因する10件の問題を修正している(数字は CVE-IDの情報)。脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。ユーザがQuickTimeを使って悪質な画像やビデオを閲覧するように仕向けることに成功すると、攻撃者はそうした10件の問題いずれかを悪用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行することができる。
Windowsの環境下では通常ユーザがローカル管理者の権限を持っているため、攻撃者はこうした脆弱性を利用しユーザのコンピュータを完全に操作することも可能だ。しかし、OS Xではユーザのアカウントとルート・アカウントが別になっているため、攻撃者はOS X においては、ユーザ・レベルの権限を獲得するために欠陥を悪用する。また、アップルの iTunes アップデートでは iTunes が"itms://" URI を解析する方法に関与するバッファ・オーバーフロー問題を修正している。攻撃者は悪質なウェブサイトにユーザを誘導したり、細工したリンクをユーザがクリックするように仕向けたりするなどして欠陥を悪用し、ユーザの権限を備えた状態でそのユーザのコンピュータでコードを実行することができる。上述のQuickTimeと同様に、攻撃者はこの欠陥を利用することでユーザのWindowsを完全に操作することが可能になるが、OS X においてはユーザ・レベルの操作権のみを獲得することができる。
ネットワークでQuickTime やiTunes の使用を許可している場合は、最新バージョンをできる限り早急にダウンロードし、インストールすることをすすめる。
【対策】
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.6.2とiTunes 8.2 をリリースしているので、WindowsとOS Xの管理者はできる限り早急に状況に適したアップデートをダウンロードしテストしてから導入することをすすめる。
日本語版対応:
全ユーザ対象:
QuickTimeは様々なメディアタイプを処理するため(ビジネス上必要なものもある)、こうした問題の影響を受けやすいファイルタイプをファイアウォールでブロックしてしまうと、仕事に差し支える場合もありえる。このため、アップルが提供しているフィックスをダウンロードすることが対策としてはベストだろう。
【ステータス】
アップルはこうした問題を修正するアップデートをリリースしている。
【参考資料】
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。
危険度:中
2009年6月2日
【概要】
- 対象:
QuickTime 7.x と iTunes 8.xを実行しているプラットフォーム
- 攻撃方法:
悪質な画像やビデオ、ウェブサイトにユーザを誘導するなど攻撃方法はいくつもある
- 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策:
Windows やOS X 用のQuickTime 7.6.2やiTunes 8.2を導入すること
【詳細】
米国時間の6月1日、アップルはWindows およびOS X用のQuickTime 7.x とiTunes 8.x に見られた複数の脆弱性を修正するセキュリティ・アップデート2件をリリースした(QuickTime / iTunes)。 QuickTime のアップデートは、QuickTime が特定の画像やビデオ・ファイルを処理する方法に起因する10件の問題を修正している(数字は CVE-IDの情報)。脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。ユーザがQuickTimeを使って悪質な画像やビデオを閲覧するように仕向けることに成功すると、攻撃者はそうした10件の問題いずれかを悪用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行することができる。
Windowsの環境下では通常ユーザがローカル管理者の権限を持っているため、攻撃者はこうした脆弱性を利用しユーザのコンピュータを完全に操作することも可能だ。しかし、OS Xではユーザのアカウントとルート・アカウントが別になっているため、攻撃者はOS X においては、ユーザ・レベルの権限を獲得するために欠陥を悪用する。また、アップルの iTunes アップデートでは iTunes が"itms://" URI を解析する方法に関与するバッファ・オーバーフロー問題を修正している。攻撃者は悪質なウェブサイトにユーザを誘導したり、細工したリンクをユーザがクリックするように仕向けたりするなどして欠陥を悪用し、ユーザの権限を備えた状態でそのユーザのコンピュータでコードを実行することができる。上述のQuickTimeと同様に、攻撃者はこの欠陥を利用することでユーザのWindowsを完全に操作することが可能になるが、OS X においてはユーザ・レベルの操作権のみを獲得することができる。
ネットワークでQuickTime やiTunes の使用を許可している場合は、最新バージョンをできる限り早急にダウンロードし、インストールすることをすすめる。
【対策】
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.6.2とiTunes 8.2 をリリースしているので、WindowsとOS Xの管理者はできる限り早急に状況に適したアップデートをダウンロードしテストしてから導入することをすすめる。
日本語版対応:
全ユーザ対象:
QuickTimeは様々なメディアタイプを処理するため(ビジネス上必要なものもある)、こうした問題の影響を受けやすいファイルタイプをファイアウォールでブロックしてしまうと、仕事に差し支える場合もありえる。このため、アップルが提供しているフィックスをダウンロードすることが対策としてはベストだろう。
【ステータス】
アップルはこうした問題を修正するアップデートをリリースしている。
【参考資料】
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。