FirefoxとQuickTime悪用のエクスプロイトが公開

「QuickTimeのメディアフォーマットがFirefoxをハッキングできてしまう」脆弱性があるという。

» 2007年09月13日 08時22分 公開
[ITmedia]

 US-CERTは9月12日、MozillaのFirefoxブラウザとAppleのメディア再生ソフトQuickTimeをインストールしたユーザーを標的として、エクスプロイトコードが公開されたと明らかにした。

 このエクスプロイトではリモートの認証を受けないユーザーが、影響を受けるシステム上で任意のコマンドを実行できてしまうという。

 Firefoxをめぐっては7月に、Internet Explorer(IE)の関与で生じる深刻な脆弱性が報告されて問題になった。

 US-CERTの今回のアラートは、ハッカー組織「GNUCITIZEN」のサイトに12日付で掲載された情報を指すとみられる。同サイトでは「QuickTimeのメディアフォーマットがFirefoxをハッキングできてしまう」脆弱性があると指摘した。

 同組織は2006年、QuickTimeの脆弱性情報を2件公開し、1件目は修正されたが2件目は無視されたと主張。そこで「低リスクの問題が高リスクの攻撃につながり得ることを示す」目的で、今回のコンセプト実証コードを公開したと説明している。

 この脆弱性を悪用されればWebブラウザが完全に制御され、OSの制御にもつながる可能性があると同サイトは指摘。エクスプロイトはクロスプラットフォームであり、QuickTimeはiTunesのデフォルトでインストールされるため、iTunesユーザーも影響を受けると解説している。

関連キーワード

Firefox | 脆弱性 | QuickTime | iTunes | ハッカー


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ