ニュース
2004/05/06 11:08 更新
QuickTimeにバッファオーバーフローの脆弱性、最新版で修正
Apple QuickTimeとiTunesにバッファオーバーフローの脆弱性が存在していたことが明らかになった。4月末にリリースされた最新版で修正されている。
Apple Computerの動画/音声再生ソフト「QuickTime」に、バッファオーバーフローの脆弱性が存在していたことが明らかになった。このセキュリティホールは、音楽ソフト「iTunes」にも存在するが、4月28日に公開された最新バージョン、QuickTime 6.5.1およびiTunes 4.5で修正されている。
このセキュリティホールの詳細は、5月2日に公開された。QuickTimeエクステンション(QuickTime.qts)に整数オーバーフローの脆弱性が存在していることが原因だ。細工を施されたQuickTimeフォーマットの動画ファイルを再生しようとすると、リモートから任意のコードを実行される可能性がある。
問題が存在するのはQuickTime Player 6.5以前とiTunes 4.2.0.72以前。Appleのサイトから最新バージョンを入手すれば問題は解消できる(追記:ただし現時点で入手できるのは英語版のみで、日本語版Windows用のアップデートは用意されていない)。
なお、Appleではこの脆弱性を悪用されてもアプリケーションが強制終了するだけに過ぎないとしているが、問題を指摘したeEye Digital Securityでは、脆弱性をうまく突かれてしまうと、リモートから任意のコードを実行させることも可能であり、非常に危険な問題だと主張している。いずれにしてもアップデートしておくに越したことはないため、日本語版Windows用のリリースが待たれる。
関連記事
WMAのインポート機能を搭載した「iTunes 4.5」がリリース関連リンク
eEye Digital Security:Apple QuickTime (QuickTime.qts) Heap OverflowApple Computerのダウンロードサイト[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
