ゼロデイRTSPセキュリティ・ホール、再びクイックタイムに問題 2008年1月11日
ゼロデイRTSPセキュリティ・ホール、再びクイックタイムに問題
危険度:中
日付:2008年1月11日
対象
・ウィンドウズやMacコンピューターで使用されているクイックタイム7.3.1.70およびそれ以前のバージョン
悪用法
・攻撃者は細工したウェブサイトやRTSP、クイックタイムのメディア・ファイルなどをユーザーに開かせる。
影響
・攻撃者はクイックタイムをクラッシュしたり、被害者の権限を獲得した状態でコードを実行したりする。
対策
・現時点では修正プログラムが用意されていないため、このアラートの対策欄を参照にし回避策を講じること。
【問題の詳細】
米国時間の2008年1月10日、セキュリティ研究家のLuigi Auriemmaは、ウィンドウズやMacを対象としたアップルのクイックタイム最新バージョンに存在するゼロデイ脆弱性についてアドバイザリーをリリースした。それには、クイックタイムがリアルタイム・ストリーミング・プロトコル(RTSP)を処理する方法に関与したバッファ・オーバーフロー問題について説明されている。
RTSPストリームを開くと、クイックタイムはまずTCPポート554を使ってホスティングRTSPサーバーに接続しようとする。それにフェイルすると、クイックタイムはHTTPポートのTCPポート80でフォールバック接続方法を試そうとする。アドバイザリーをリリースしたAuriemmaによると、クイックタイムはこのフォールバック接続時に受信した特定の応答を正しく処理しないという。特に、クイックタイムがフォールバック接続時に非常に長いHTTP404エラーを受信した場合、そのエラーはクイックタイムでオーバーフロー問題を誘発する。
攻撃者は細工したRTSPストリームをユーザーに開かせることで、この欠陥を悪用してクイックタイムをクラッシュさせたり、ユーザーのコンピューターでコードを実行したりすることができ、これに成功した場合は被害者の権利を獲得できるようになる。つまり、ユーザーにローカル管理者の権限を与えている場合、攻撃者はこの欠陥を悪用して被害者のコンピューターを完全にコントロールすることができるようになる。
攻撃者は、細工したRTSPストリームにユーザーを誘い込むため、クイックタイム・メディア・リンクと呼ばれる特別なファイルにストリームを埋め込むこともできる。クイックタイム・メディア・リンク・ファイルは、通常[.QTL]という拡張子が付いているが、攻撃者はこれをクイックタイムがサポートする他の拡張子(例:.MOV、.AIFF、.MP3など)に変えることができ、クイックタイムはそうしたファイルを正常に処理する。つまり、攻撃者は細工したクイックタイム・メディア・ファイルをユーザーにダウンロードさせ、それを開かせることでこの欠陥を悪用することができる。また、攻撃者が細工したクイックタイム・メディア・ファイルをホストするウェブ・ページをユーザーが訪れた場合も同様だ。
残念なことにAuriemmaは、アップルにこの問題について連絡する以前にアドバイザリーをリリースした。また、Auriemmaは実際にその脆弱性の悪用が、クイックタイムをクラッシュさせることが可能であることを示すデモ(PoC)もリリースした。ライブセキュリティでは、このPoCを確認しAuriemmaに連絡したところ、彼はPoC悪用を実行コードに変えることができることを承認した。
修正プログラムなしの状態でPoCが広範囲に渡っていることから、ライブセキュリティでは、この脆弱性はクイックタイムやiTunesユーザーに重大なリスクをもたらすものと見ている(現バージョンのiTunesはクイックタイムと一緒に出荷されている)。アップルのそうしたマルチメディア製品を使用している場合は、できる限り早急に、このアラートの【対策】欄で説明した回避策を講じることを勧める。
注意:Auriemmaによるアラートでは、この欠陥はMac対象のクイックタイムにも影響を与えると説明されているが、Bugtraqのメール・リストに掲載されたMarcello Barnabaによると、OS X 10.5.1と最新バージョンのクイックタイムを使用しているMacでは、AuriemmaのPoCは成功しなかったという。ライブセキュリティでは、全バージョンのクイックタイムにこの脆弱性が影響を与えているかどうかまだ確認できていない。
【対策】
Auriemmaは、先にアップルに連絡をせずに脆弱性に関する情報をリリースしたため、アップルはこれに対する修正プログラムを作成する充分な時間がなかった。RTSPプロトコル(TCPポート554)をブロックすることで、この脆弱性のリスクを緩和させることはできない。このセキュリティ問題はRTSPに関与するが、問題の根底はクイックタイムがTCPポート80で行われるフォールバックRTSP接続を処理する方法に関与する。ユーザーがウェブをブラウズするには、ポート80を許可しなければならない。このため対策としては、クイックタイムやiTunesをネットワークで使用することを許可していたり、ユーザーがそれらをインストールしていると思われる場合は、アップルが修正プログラムをリリースするまで下記の対策のいづれか、または全てを講じることを勧める。
・ クイックタイム・ファイルのファイル・アソシエーションを無効にする
これを無効にすることで、ユーザーがダブルクリックするメディア・ファイルをウィンドウズがクイックタイムで自動的に開かないようにすることができる。そうするには、次で始まるレジストリー・キーを全て削除する。
HKEY_CLASSES_ROOT\QuickTime.
例えば、次のようなキーを削除する。
・HKEY_CLASSES_ROOT\QuickTime.aiff
・HKEY_CLASSES_ROOT\QuickTime.mov
・HKEY_CLASSES_ROOT\QuickTime.mp4
・HKEY_CLASSES_ROOT\QuickTime.3gp
この回避策を講じることで、ウィンドウズはクイックタイムの他の正当なメディア・ファイルも開くことができなくなることに注意しよう。つまり、この変更を施した後は、問題のないクイックタイム・ファイルもダブルクリックで開くことができなくなるので、ファイルを開く際は、まずクイックタイムを実行し、アプリケーション内からファイル・メディアを手動で開くことになる。
・ インターネット・エクスプローラ(IE)でクイックタイムのActiveXコントロールを無効にする
クイックタイムは、ユーザーがウェブをブラウズしている間に遭遇したクイックタイム・メディアを処理するため、IEのActiveXコントロールをインストールする。クイックタイムActiveXコントロールを無効にすると、クイックタイムが埋め込まれた攻撃者の不正サイトにユーザーを誘い込み、この脆弱性を攻撃者が悪用することを防ぐことが可能になる。クイックタイムActiveXコントロールを無効にするには、次のCLSIDでkillbitをセットしなければならない。
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}
killbit を設定することにより、ActiveXコントロールを無効にする方法についてはマイクロソフトのナレッジ・ベースの記事を参照することを勧める(英語)。この回避策は正当なウェブ・ベースのクイックタイム・メディアもブラウザーで閲覧できないようにする点に注意しよう。
・ モジラ・ベースのブラウザー(Firefox)でクイックタイムのプラグインを無効にする
クイックタイムは、ウェブをブラウズしている間にクイックタイム・メディアを処理するため、Firefoxのプラグインをインストールする。このプラグインを無効にすると、クイックタイムが埋め込まれた攻撃者の不正サイトにユーザーを誘い込み、この脆弱性を攻撃者が悪用することを防ぐことに役立つ。Firefoxのプラグインをアンインストールする方法についてはこちらを参照することを勧める(英語)。この回避策は正当なウェブ・ベースのクイックタイム・メディアをブラウザーで閲覧することも妨げる点に注意しよう。
・ ゲートウェイでクイックタイム・メディアのコンテンツを全てブロックする
攻撃者が細工したクイックタイム・メディア・ファイルをユーザーがダウンロードすることで、攻撃者はこのセキュリティ脆弱性を悪用することができる。理論上、攻撃者は(.mov)、(.mp3)、(.qtl)、(.avi)など、他にも様々なクイックタイムが処理する大方のメディア・ファイルでこの攻撃を誘発することができる。可能性のあるメディア・ファイルをゲートウェイでブロックすると、このような誘導攻撃からネットワークを保護することができる。しかし、こうすることでユーザーは正当なメディア・ファイルも受信することができなくなるため、この方法は厳重な組織においてのみのオプションとなるだろう。
アップルがクイックタイムの修正プログラムをリリースし次第、連絡する。
ウォッチガード・ユーザー:
ウォッチガードのFirebox製品シリーズには、ウェブやメール経由でユーザーが特定のメディア・ファイルをダウンロードすることができないようにするものも多々ある。FireboxのHTTPやSMTP、POP3プロキシー・サービスを使用して、クイックタイムが処理するメディア・ファイルを全てブロックすることにより、このセキュリティ問題によるリスクを緩和させることが可能だ。しかし、この脆弱性を誘発するメディア・ファイルは多々あり、それらをブロックすると、ユーザーは正当なメディア・ファイルもダウンロードすることができなくなる。このため、前述した別の対策を講じることを勧める。
【ステータス】
アップルが修正プログラムをリリースまたはクイックタイムのアップデート版がリリースされ次第、連絡する。
【参考資料】
Luigi AuriemmaによるRTSPのアドバイザリー(英語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。
危険度:中
日付:2008年1月11日
対象
・ウィンドウズやMacコンピューターで使用されているクイックタイム7.3.1.70およびそれ以前のバージョン
悪用法
・攻撃者は細工したウェブサイトやRTSP、クイックタイムのメディア・ファイルなどをユーザーに開かせる。
影響
・攻撃者はクイックタイムをクラッシュしたり、被害者の権限を獲得した状態でコードを実行したりする。
対策
・現時点では修正プログラムが用意されていないため、このアラートの対策欄を参照にし回避策を講じること。
【問題の詳細】
米国時間の2008年1月10日、セキュリティ研究家のLuigi Auriemmaは、ウィンドウズやMacを対象としたアップルのクイックタイム最新バージョンに存在するゼロデイ脆弱性についてアドバイザリーをリリースした。それには、クイックタイムがリアルタイム・ストリーミング・プロトコル(RTSP)を処理する方法に関与したバッファ・オーバーフロー問題について説明されている。
RTSPストリームを開くと、クイックタイムはまずTCPポート554を使ってホスティングRTSPサーバーに接続しようとする。それにフェイルすると、クイックタイムはHTTPポートのTCPポート80でフォールバック接続方法を試そうとする。アドバイザリーをリリースしたAuriemmaによると、クイックタイムはこのフォールバック接続時に受信した特定の応答を正しく処理しないという。特に、クイックタイムがフォールバック接続時に非常に長いHTTP404エラーを受信した場合、そのエラーはクイックタイムでオーバーフロー問題を誘発する。
攻撃者は細工したRTSPストリームをユーザーに開かせることで、この欠陥を悪用してクイックタイムをクラッシュさせたり、ユーザーのコンピューターでコードを実行したりすることができ、これに成功した場合は被害者の権利を獲得できるようになる。つまり、ユーザーにローカル管理者の権限を与えている場合、攻撃者はこの欠陥を悪用して被害者のコンピューターを完全にコントロールすることができるようになる。
攻撃者は、細工したRTSPストリームにユーザーを誘い込むため、クイックタイム・メディア・リンクと呼ばれる特別なファイルにストリームを埋め込むこともできる。クイックタイム・メディア・リンク・ファイルは、通常[.QTL]という拡張子が付いているが、攻撃者はこれをクイックタイムがサポートする他の拡張子(例:.MOV、.AIFF、.MP3など)に変えることができ、クイックタイムはそうしたファイルを正常に処理する。つまり、攻撃者は細工したクイックタイム・メディア・ファイルをユーザーにダウンロードさせ、それを開かせることでこの欠陥を悪用することができる。また、攻撃者が細工したクイックタイム・メディア・ファイルをホストするウェブ・ページをユーザーが訪れた場合も同様だ。
残念なことにAuriemmaは、アップルにこの問題について連絡する以前にアドバイザリーをリリースした。また、Auriemmaは実際にその脆弱性の悪用が、クイックタイムをクラッシュさせることが可能であることを示すデモ(PoC)もリリースした。ライブセキュリティでは、このPoCを確認しAuriemmaに連絡したところ、彼はPoC悪用を実行コードに変えることができることを承認した。
修正プログラムなしの状態でPoCが広範囲に渡っていることから、ライブセキュリティでは、この脆弱性はクイックタイムやiTunesユーザーに重大なリスクをもたらすものと見ている(現バージョンのiTunesはクイックタイムと一緒に出荷されている)。アップルのそうしたマルチメディア製品を使用している場合は、できる限り早急に、このアラートの【対策】欄で説明した回避策を講じることを勧める。
注意:Auriemmaによるアラートでは、この欠陥はMac対象のクイックタイムにも影響を与えると説明されているが、Bugtraqのメール・リストに掲載されたMarcello Barnabaによると、OS X 10.5.1と最新バージョンのクイックタイムを使用しているMacでは、AuriemmaのPoCは成功しなかったという。ライブセキュリティでは、全バージョンのクイックタイムにこの脆弱性が影響を与えているかどうかまだ確認できていない。
【対策】
Auriemmaは、先にアップルに連絡をせずに脆弱性に関する情報をリリースしたため、アップルはこれに対する修正プログラムを作成する充分な時間がなかった。RTSPプロトコル(TCPポート554)をブロックすることで、この脆弱性のリスクを緩和させることはできない。このセキュリティ問題はRTSPに関与するが、問題の根底はクイックタイムがTCPポート80で行われるフォールバックRTSP接続を処理する方法に関与する。ユーザーがウェブをブラウズするには、ポート80を許可しなければならない。このため対策としては、クイックタイムやiTunesをネットワークで使用することを許可していたり、ユーザーがそれらをインストールしていると思われる場合は、アップルが修正プログラムをリリースするまで下記の対策のいづれか、または全てを講じることを勧める。
・ クイックタイム・ファイルのファイル・アソシエーションを無効にする
これを無効にすることで、ユーザーがダブルクリックするメディア・ファイルをウィンドウズがクイックタイムで自動的に開かないようにすることができる。そうするには、次で始まるレジストリー・キーを全て削除する。
HKEY_CLASSES_ROOT\QuickTime.
例えば、次のようなキーを削除する。
・HKEY_CLASSES_ROOT\QuickTime.aiff
・HKEY_CLASSES_ROOT\QuickTime.mov
・HKEY_CLASSES_ROOT\QuickTime.mp4
・HKEY_CLASSES_ROOT\QuickTime.3gp
この回避策を講じることで、ウィンドウズはクイックタイムの他の正当なメディア・ファイルも開くことができなくなることに注意しよう。つまり、この変更を施した後は、問題のないクイックタイム・ファイルもダブルクリックで開くことができなくなるので、ファイルを開く際は、まずクイックタイムを実行し、アプリケーション内からファイル・メディアを手動で開くことになる。
・ インターネット・エクスプローラ(IE)でクイックタイムのActiveXコントロールを無効にする
クイックタイムは、ユーザーがウェブをブラウズしている間に遭遇したクイックタイム・メディアを処理するため、IEのActiveXコントロールをインストールする。クイックタイムActiveXコントロールを無効にすると、クイックタイムが埋め込まれた攻撃者の不正サイトにユーザーを誘い込み、この脆弱性を攻撃者が悪用することを防ぐことが可能になる。クイックタイムActiveXコントロールを無効にするには、次のCLSIDでkillbitをセットしなければならない。
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}
killbit を設定することにより、ActiveXコントロールを無効にする方法についてはマイクロソフトのナレッジ・ベースの記事を参照することを勧める(英語)。この回避策は正当なウェブ・ベースのクイックタイム・メディアもブラウザーで閲覧できないようにする点に注意しよう。
・ モジラ・ベースのブラウザー(Firefox)でクイックタイムのプラグインを無効にする
クイックタイムは、ウェブをブラウズしている間にクイックタイム・メディアを処理するため、Firefoxのプラグインをインストールする。このプラグインを無効にすると、クイックタイムが埋め込まれた攻撃者の不正サイトにユーザーを誘い込み、この脆弱性を攻撃者が悪用することを防ぐことに役立つ。Firefoxのプラグインをアンインストールする方法についてはこちらを参照することを勧める(英語)。この回避策は正当なウェブ・ベースのクイックタイム・メディアをブラウザーで閲覧することも妨げる点に注意しよう。
・ ゲートウェイでクイックタイム・メディアのコンテンツを全てブロックする
攻撃者が細工したクイックタイム・メディア・ファイルをユーザーがダウンロードすることで、攻撃者はこのセキュリティ脆弱性を悪用することができる。理論上、攻撃者は(.mov)、(.mp3)、(.qtl)、(.avi)など、他にも様々なクイックタイムが処理する大方のメディア・ファイルでこの攻撃を誘発することができる。可能性のあるメディア・ファイルをゲートウェイでブロックすると、このような誘導攻撃からネットワークを保護することができる。しかし、こうすることでユーザーは正当なメディア・ファイルも受信することができなくなるため、この方法は厳重な組織においてのみのオプションとなるだろう。
アップルがクイックタイムの修正プログラムをリリースし次第、連絡する。
ウォッチガード・ユーザー:
ウォッチガードのFirebox製品シリーズには、ウェブやメール経由でユーザーが特定のメディア・ファイルをダウンロードすることができないようにするものも多々ある。FireboxのHTTPやSMTP、POP3プロキシー・サービスを使用して、クイックタイムが処理するメディア・ファイルを全てブロックすることにより、このセキュリティ問題によるリスクを緩和させることが可能だ。しかし、この脆弱性を誘発するメディア・ファイルは多々あり、それらをブロックすると、ユーザーは正当なメディア・ファイルもダウンロードすることができなくなる。このため、前述した別の対策を講じることを勧める。
【ステータス】
アップルが修正プログラムをリリースまたはクイックタイムのアップデート版がリリースされ次第、連絡する。
【参考資料】
Luigi AuriemmaによるRTSPのアドバイザリー(英語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。