「MySpaceワーム」にも利用されたApple QuickTimeの脆弱性について、US-CERTがアラートを公開して注意を促した。
Apple QuickTimeの脆弱性が原因でリモートのWebサイトからローカルファイルシステムのコンテンツを参照できてしまう問題について、US-CERTが1月12日、アラートを掲載した。
この問題は当初「MySpaceワーム」として報告され、1月に入ってApple製品のバグ情報公開プロジェクト「MOAB」(Month of Apple Bugs)で詳しい情報とコンセプト実証コードが公開されている。
US-CERTによると、Apple QuickTimeのプラグインを実行しているブラウザで、リモートのWebサイトからローカルファイルシステムのコンテンツを参照することができてしまい、攻撃者がローカルマシンのセキュリティをかいくぐってスクリプトを実行することが可能になる。
MicrosoftのInternet Explorer(IE)やApple SafariでApple QuickTimeプラグインを実行している場合、Webサイトからローカルファイルシステム上のコンテンツへのアクセスが制限されないという。
攻撃者はWebサイトで悪質なQuickTimeファイルをホスティングし、メールやIMなどあらゆる手を使ってユーザーをそのサイトにおびき寄せようとする可能性がある。
現時点で解決策は存在せず、US-CERTではIEでQuickTime ActiveXコントロールを無効にする、QuickTimeファイルの関連付けを無効にする、信頼できないリンクはクリックしないなどの回避策を紹介している。
MOABのサイトに掲載された情報によれば、この問題の影響を受けるのはQuickTime 7.1.3とそれ以前のバージョン。
AppleはMySpaceワームに対処するパッチをリリースしたが、このパッチをテストしてみたところ何の効果もないようだとMOABのサイトは報告。適切なパッチが公開されるまで、QuickTimeをアンインストールすることが望ましいと結んでいる。
Copyright © ITmedia, Inc. All Rights Reserved.