Internet Watch logo
記事検索
最新ニュース

QuickTime 7.5.5とiTunes 8.0に脆弱性、すでに攻撃コードも


 米国立標準技術研究所(NIST)は18日、QuickTime 7.5.5とiTunes 8.0に脆弱性があることを公表した。これらのソフトは、Appleが9日、新型iPodの発表にあわせてリリースしたばかりの最新バージョンにあたる。

 NISTの脆弱性データベースによると、リモートからブラウザをクラッシュさせられたり、任意のコードを実行される可能性があるという。Webページや.mp4/.movファイルに、長いQuickTimeタグを埋め込むことで攻撃可能としている。

 この脆弱性についてはすでに攻撃コードが公開されており、これについて18日付のMcAfee Avert Labsのブログで言及している。

 それによると、攻撃コードの作者はリモートヒープオーバーフローだとしているが、McAfee Avert Labsが分析したところ、実際はoff-by-oneスタックオーバーフローであり、これによって任意のコードを実行可能であるとは考えにくいという。しかしながら、ユーザーはこれを軽く考えず、適切な防御手段を考えるべきだとしている。


関連情報

URL
  NISTの脆弱性情報(英文)
  http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4116
  McAfee Avert Labsブログの該当記事(英文)
  http://www.avertlabs.com/research/blog/index.php/2008/09/18/the-true-of-recent-0day-for-quicktime755itunes80/

関連記事
QuickTimeやiPod touchに複数の脆弱性、修正版リリース(2008/09/10)


( 永沢 茂 )
2008/09/19 17:49

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.