「QuickTime for Windows」のインストーラーに脆弱性

　「QuickTime for Windows」のインストーラーにおける任意のコードを実行可能な脆弱性について、独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が13日、注意を喚起している。QuickTime for Windowsのサポートはすでに終了しており、アンインストールが推奨されている。

　QuickTime for Windowsのインストーラーにおける脆弱性「CVE-2017-2218」は、DLLファイルを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLファイルを読み込んでしまうもの。これにより、インストーラーの実行権限で、細工されたDLLが読み込まれて、任意のコードを実行されてしまう可能性がある。CVSS v3のスコアは7.8ポイント。

　なお、QuickTime for Windows自体にも2016年4月にもヒープバッファオーバーフローの脆弱性2件が発見されているが、現在も修正プログラムなどは提供されていない。

　QuickTime for Windowsのサポートはすでに終了しており、Appleでは、今後もセキュリティアップデートを提供する予定はなく、QuickTime for Windowsのアンインストールを推奨をしている。

　なお、JPCERT/CCでは、Windowsアプリケーションの、特にインストーラーにおいて、Windowsのシステムディレクトリなどに置かれている正規のDLLファイルではなく、アプリケーションと同じディレクトリに置かれている同名のDLLファイルが優先されることによる脆弱性が多数報告されているとして、5月25日にも注意喚起を行っている。