QuicktimeやiTunesを侵害する悪質なメディア・ファイル 2010年3月30日
QuicktimeやiTunesを侵害する悪質なメディア・ファイル
危険度: 中
2010年3月30日
概要:
詳細:
米国時間の3月30日、アップルはWindows およびOS Xを対象とするQuickTime7.6.x とiTunes 9.x にあった複数の脆弱性を修正するセキュリティ・アップデート2件をリリースした(QuickTime / iTunes)。
QuickTime のアップデートは、QuickTime が特定の画像やビデオ・ファイルを処理する方法に起因する16件の問題を修正している(数字は CVE-IDの情報)。脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。ユーザがQuickTimeを使って悪質な画像やビデオを閲覧するように仕向けることに成功すると、攻撃者は欠陥のいずれかを悪用し、ユーザの権限を獲得した状態で、そのユーザのコンピュータでコードを実行することができる。 Windowsの環境下では、通常ユーザがローカル管理者の権限を持っているため攻撃者はこうした脆弱性を利用し、ユーザのコンピュータを完全に操作することも可能だ。しかし、OS Xではユーザのアカウントとルート・アカウントが別になっているため、攻撃者はOS X においては、ユーザ・レベルの権限を獲得するために欠陥を悪用する。
アップルのiTunes アップデート は、7件のセキュリティ問題を修正している(数字はCVE-IDの情報)。中でも悪質な問題は、iTunesが特定の画像やメディア・ファイルを処理する方法に関与している。先に説明したQuickTimeの欠陥と同様に、攻撃者が細工した画像やメディア・ファイルをiTunes でユーザが開くように仕向けた場合、中でも悪質な欠陥は、攻撃者がユーザのコンピュータでユーザの特権を獲得し、コードを実行できるようにしてしまうものもある。こうした状態はWindowsにおいては、攻撃者がユーザのコンピュータを操作できるようになることを意味しているが、Macにおいては、攻撃者がユーザレベルの特権を獲得できることを意味する。しかし、これとは別のiTunes の脆弱性はローカル・ユーザがシステム特権を持てるようにするため、攻撃者は脆弱性を組み合わせてMacのことも完全に操作できるようになる。 ネットワークでQuickTime やiTunes の使用を許可している場合は、最新バージョンをできる限り早急にダウンロードし、インストールすることをすすめる。 また、iTunesにはQuickTimeが搭載されていることを忘れないこと。iTunes を使用している場合は、おそらくどちらのアップデートも必要だろう。
対策:
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.6.6とiTunes 9.1 をリリースしているので、WindowsとOS Xの管理者はできる限り早急に状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。
全ユーザ対象:
QuickTimeは様々なメディアタイプを処理するため(ビジネス上必要なものもある)、こうした問題の影響を受けやすいファイルタイプをファイアウォールでブロックしてしまうと、仕事に差し支える場合もありえる。このため、アップルが提供しているフィックスをダウンロードすることが対策としてはベストだろう。
ステータス:
アップルはこうした問題を修正するアップデートをリリースしている。
参考資料:
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 中
2010年3月30日
概要:
- 対象:
QuickTime 7.6.x と iTunes 9.xを実行しているプラットフォーム
- 攻撃方法:
悪質な画像やビデオ、ウェブサイトにユーザを誘導するなど攻撃方法はいくつもある
- 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策:
Windows やOS X用のQuickTime 7.6.6やiTunes 9.1をインストールすること
詳細:
米国時間の3月30日、アップルはWindows およびOS Xを対象とするQuickTime7.6.x とiTunes 9.x にあった複数の脆弱性を修正するセキュリティ・アップデート2件をリリースした(QuickTime / iTunes)。
QuickTime のアップデートは、QuickTime が特定の画像やビデオ・ファイルを処理する方法に起因する16件の問題を修正している(数字は CVE-IDの情報)。脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。ユーザがQuickTimeを使って悪質な画像やビデオを閲覧するように仕向けることに成功すると、攻撃者は欠陥のいずれかを悪用し、ユーザの権限を獲得した状態で、そのユーザのコンピュータでコードを実行することができる。 Windowsの環境下では、通常ユーザがローカル管理者の権限を持っているため攻撃者はこうした脆弱性を利用し、ユーザのコンピュータを完全に操作することも可能だ。しかし、OS Xではユーザのアカウントとルート・アカウントが別になっているため、攻撃者はOS X においては、ユーザ・レベルの権限を獲得するために欠陥を悪用する。
アップルのiTunes アップデート は、7件のセキュリティ問題を修正している(数字はCVE-IDの情報)。中でも悪質な問題は、iTunesが特定の画像やメディア・ファイルを処理する方法に関与している。先に説明したQuickTimeの欠陥と同様に、攻撃者が細工した画像やメディア・ファイルをiTunes でユーザが開くように仕向けた場合、中でも悪質な欠陥は、攻撃者がユーザのコンピュータでユーザの特権を獲得し、コードを実行できるようにしてしまうものもある。こうした状態はWindowsにおいては、攻撃者がユーザのコンピュータを操作できるようになることを意味しているが、Macにおいては、攻撃者がユーザレベルの特権を獲得できることを意味する。しかし、これとは別のiTunes の脆弱性はローカル・ユーザがシステム特権を持てるようにするため、攻撃者は脆弱性を組み合わせてMacのことも完全に操作できるようになる。 ネットワークでQuickTime やiTunes の使用を許可している場合は、最新バージョンをできる限り早急にダウンロードし、インストールすることをすすめる。 また、iTunesにはQuickTimeが搭載されていることを忘れないこと。iTunes を使用している場合は、おそらくどちらのアップデートも必要だろう。
対策:
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.6.6とiTunes 9.1 をリリースしているので、WindowsとOS Xの管理者はできる限り早急に状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。
全ユーザ対象:
QuickTimeは様々なメディアタイプを処理するため(ビジネス上必要なものもある)、こうした問題の影響を受けやすいファイルタイプをファイアウォールでブロックしてしまうと、仕事に差し支える場合もありえる。このため、アップルが提供しているフィックスをダウンロードすることが対策としてはベストだろう。
ステータス:
アップルはこうした問題を修正するアップデートをリリースしている。
参考資料:
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。