QuickTimeのゼロデイの脆弱性を悪用し、Second Life通貨のリンデンドルを「強奪」することが可能だとして、セキュリティ研究者が情報を公開した。Second Lifeで動画を有効にしているユーザーが、攻撃者の所有地に足を踏み入れると被害に遭うという。
情報を公開したのはIndependent Security Evaluatorsの主席セキュリティアナリスト、チャーリー・ミラー氏ら2人の研究者。サイトに掲載された情報によると、Second Lifeではユーザーがオブジェクトにメディアファイルを組み込むことが可能で、動画処理はすべてQuickTimeを利用している。しかも、これらメディアは常に再生させておくことが可能。
この機能を悪用してSecond Lifeの土地に悪質なQuickTimeファイルを仕掛けておき、ここにSecond Lifeのアバターが足を踏み入れて悪質ファイルを参照すると、攻撃者が被害者のコンピュータとアバターを完全に制御することが可能になる。
今回作成されたエクスプロイトでは、被害者のアバターをフリーズさせて攻撃者のアバターに12リンデンドルを与え、「I got hacked」(ハッキングされた)と叫ばせている。この模様はYouTubeビデオでも紹介されている。
仮想社会ではエクスプロイトもさまざまな方法で届けることが可能だとミラー氏らは指摘する。今回は紫色の箱がエクスプロイトになっているが、例えばキャラクターが着ているシャツを見せる、別のキャラクターに何かささやくといった、あらゆる方法が考えられるという。
この問題はSecond Lifeを運営するLinden Labsには通報済みで、ユーザーに対しては、Appleがパッチを公開するまで動画の利用を停止するよう呼びかけている。この種のエクスプロイトは今後も登場することが予想され、仮想世界はすべて影響を受ける可能性があると警鐘を鳴らしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR