iTunesとQuickTime最新版に脆弱性

[ITmedia]

　セキュリティ対策サイトのSecurity-Protocols.comは12月20日、Apple ComputerのiTunes 6.0.1およびQuickTime 7.0.3にヒープオーバーフローの脆弱性が存在するというアドバイザリーを公開した。ともに最新版であり、通常はiTunes最新版をインストールするとQuickTimeも最新版に更新される。

　細工を施した.movファイルによって、このヒープオーバーフローは引き起こされる。この脆弱性を突くと、攻撃者はプログラムをクラッシュさせ、任意のコードを実行させることが可能となる。Mac OS XおよびWindows向けの全バージョンのiTunesおよびQuickTimeにこの脆弱性は存在するという。

　Security-Protocols.comは深刻度を「高い」としており、「今年だけでどれだけiPodが販売されたかを考えてほしい」とコメントしている。

　iTunesではビデオポッドキャスティングがサポートされており、細工を施したムービーファイルが自動的にダウンロードされることもありうるため注意が必要だ。