米US-CERTは10日、QuickTimeに関する新たな脆弱性情報を公開した。悪意のあるファイルへのアクセスによって任意のコードを実行させられる危険のあるもので、現時点では修正パッチは公開されていない。
脆弱性は、QuickTimeのリアルタイムストリーミングプロトコル(RTSP)に存在するもので、バッファオーバーフローを引き起こすことにより、サービス拒否(DoS)や任意のコードの実行が可能になるというもの。これにより、Web上の悪意のあるQuickTimeファイルにアクセスしただけで、ウイルスなどに感染する危険がある。
脆弱性はWindows版、Mac OS X版ともに影響があり、QuickTime最新版のバージョン7.3.1.70にも影響があるとされている。現時点で、Appleから修正パッチなどは公開されていない。
QuickTimeのRTSPについては、2007年11月にも脆弱性が発見され、修正版がリリースされているが、また新たな脆弱性が発見された。今回の脆弱性は、既に実証コードも公開されており、悪用が可能な危険な状態となっている。US-CERTでは回避策として、QuickTimeをアンインストールすることや、RTSPを遮断する方法、WebブラウザのQuickTimeプラグインを無効にする方法などを挙げている。
関連情報
■URL
US-CERTによる脆弱性情報(英文)
http://www.kb.cert.org/vuls/id/112179
■関連記事
・ 「QuickTime 7.3.1」リリース、危険度の高い脆弱性を修正(2007/12/14)
( 三柳英樹 )
2008/01/11 13:12
- ページの先頭へ-
|