細工を施したQuickTimeファイルをユーザーが開くと、任意のコードを実行されてしまう恐れがある。
MozillaのFirefoxブラウザ経由でAppleのメディア再生ソフトQuickTimeの脆弱性を悪用するエクスプロイトコードが公開された問題で、米US-CERTや仏FrSIRTが正式なアドバイザリーを公開した。
FrSIRTによると、QuickTimeリンク(.qtl)ファイルの「qtnext」パラメータ処理方法に設計上のエラーが存在する。影響を受けるのはQuickTimeのバージョン7.xで、深刻度は4段階で最大の「Critical」と評価している。
US-CERTによれば、QuickTimeにリンクさせたファイルはWebページに組み込んで、ユーザーがそのページを訪れると自動的に立ち上げるようにすることが可能。リモートの攻撃者がユーザーをだまして細工を施したQuickTimeファイルを開かせることにより、任意のコードを実行できてしまう恐れがある。
現在公開されているコンセプト実証コードは、Firefoxがデフォルトブラウザになっているシステムをターゲットとしているが、ほかのアプリケーションもこの脆弱性の影響を受けるという。
Appleの公式パッチはまだリリースされていない。当面の回避策としてUS-CERTでは、Firefox拡張機能のNoScriptを使うなどしてQuickTimeムービーへのアクセスを制限する方法を紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.