速報
QuickTimeにまた新たな脆弱性、実証コードも公開
リモートから任意のコードを実行できるQuickTimeの脆弱性情報がまた公開された。
11月上旬にアップデートが公開されたばかりのApple QuickTimeにまた新たな脆弱性が報告され、米US-CERTがアドバイザリーを公開した。
US-CERTによると、QuickTimeがサポートしているRTSP(Real Time Streaming Protocol)に、11月24日の時点でバッファオーバーフローの脆弱性が存在する。
攻撃者は、ユーザーをだまして細工を施したRTSPストリームをロードさせることで、リモートから任意のコードを実行することが可能になる。RTSPストリームをロードさせるには、QuickTime Media Linkファイルなど、さまざまな種類のWebコンテンツが利用できるという。
QuickTimeはiTunesのコンポーネントでもあるため、iTunesもこの脆弱性の影響を受ける。
脆弱性を突いたコンセプト実証コードも公開されているが、現時点で公式パッチはリリースされておらず、解決策は存在しない。ただ、プロキシ/ファイアウォールでRTSPプロトコルをブロックすれば、問題を回避する一助にはなるとしている。
攻撃者がWebサイトで悪質なQuickTimeファイルをホスティングする可能性もあるため、メールやIM(インスタントメッセンジャー)などで届いた不審なリンクを不用意にクリックしないよう、US-CERTはユーザーに注意を促している。
関連記事
- 複数の脆弱性を修正した「QuickTime 7.3」公開
QuickTimeのセキュリティアップデートでは7件の脆弱性が修正された。 - AppleのDarwin Streaming Serverに脆弱性
関連リンク
[ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
|
利用規約 | プライバシーポリシー | 広告案内 | サイトマップ | お問い合わせ |
ITmedia|ITmedia News|プロモバ|ITmedia エンタープライズ|ITmedia エグゼクティブ|TechTargetジャパン |
