Firefox関与のQuickTime脆弱性、US-CERTなどが危険度「高」と評価

細工を施したQuickTimeファイルをユーザーが開くと、任意のコードを実行されてしまう恐れがある。

» 2007年09月17日 09時14分 公開
[ITmedia]

 MozillaのFirefoxブラウザ経由でAppleのメディア再生ソフトQuickTimeの脆弱性を悪用するエクスプロイトコードが公開された問題で、米US-CERTや仏FrSIRTが正式なアドバイザリーを公開した。

 FrSIRTによると、QuickTimeリンク(.qtl)ファイルの「qtnext」パラメータ処理方法に設計上のエラーが存在する。影響を受けるのはQuickTimeのバージョン7.xで、深刻度は4段階で最大の「Critical」と評価している。

 US-CERTによれば、QuickTimeにリンクさせたファイルはWebページに組み込んで、ユーザーがそのページを訪れると自動的に立ち上げるようにすることが可能。リモートの攻撃者がユーザーをだまして細工を施したQuickTimeファイルを開かせることにより、任意のコードを実行できてしまう恐れがある。

 現在公開されているコンセプト実証コードは、Firefoxがデフォルトブラウザになっているシステムをターゲットとしているが、ほかのアプリケーションもこの脆弱性の影響を受けるという。

 Appleの公式パッチはまだリリースされていない。当面の回避策としてUS-CERTでは、Firefox拡張機能のNoScriptを使うなどしてQuickTimeムービーへのアクセスを制限する方法を紹介している。

関連キーワード

QuickTime | Firefox | 脆弱性 | Apple | Mozilla


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ