ニュース
» 2007年04月27日 09時21分 UPDATE

Safariの脆弱性、実はQuickTimeの問題

CanSecWestのハッキングコンテストで、AppleのSafariブラウザにゼロデイの脆弱性が発見されたと報じられたが、実はQuickTimeの脆弱性だった。

[ITmedia]

 カナダで開催されたセキュリティカンファレンス、CanSecWestのハッキングコンテストにおいて、AppleのSafariブラウザにゼロデイの脆弱性が発見されたと報じられた。だが実際には、脆弱性はメディアプレイヤーのQuickTimeに存在していた模様だ。

 問題の脆弱性はディノ・ダイ・ゾビ氏が発見し、これを使ってCanSecWestのコンテストでMacBook Proのハッキングに成功した。

 セキュリティ情報ブログのMatasano Chargenなどが伝えたところでは、ディノ氏が使ったのはQuickTimeの脆弱性だったことが判明。QuickTimeがインストールされていれば、Safari以外のJava対応ブラウザも攻撃に使われる可能性があるという。

 Matasano Chargenによると、Intel Macでは、FirefoxとSafariがこの脆弱性を突いた攻撃に利用できることが確認された。WindowsでもQuickTimeがインストールされていれば、Firefoxで危険にさらされると推定できるという。

 Secuniaは4月24日、AppleのQuickTimeに、新たな脆弱性が報告されたとしアドバイザリーを発行した。悪用されるとシステムへのアクセスを許し、任意のコード実行につながるおそれがあるという。

 Secuniaのアドバイザリーによると、脆弱性はJavaコード処理時の予期せぬエラーに起因する。Javaを有効にした状態のWebブラウザで悪意あるWebサイトにアクセスすると、脆弱性を悪用され、任意のコードが実行される可能性があるという。

 脆弱性が影響するのは、QuickTime 7.x以前のすべてのバージョン。CanSecWestではMac OS XとSafariの組み合わせでハッキングが成功したが、Firefoxでも同様の脆弱性が確認されたという。さらに、ほかのプラットフォームやWebブラウザも同様に影響を受ける可能性がある。

 現在のところ、ベンダーからのパッチは提供されていない。WebブラウザのJava機能を無効にすること、信頼できないWebサイトを不用意に訪れないことが回避策として挙げられている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ