QuickTimeの脆弱性、Windows版では解消されず――Secuniaが報告

Secuniaによると、Appleが公開したQuickTimeのパッチはMac OS Xでしか適用できず、Windows版にはいまだに脆弱性が存在するという。

[ITmedia]

　Appleが公開したQuickTimeのセキュリティパッチはMac OS Xでしかダウンロードできず、Windows版の脆弱性は解消されていないと、セキュリティ企業のSecuniaが指摘した。

　Appleは1月23日にQuickTimeの脆弱性に対処したセキュリティアップデート「2007-001」を公開。しかしSecuniaは25日付のブログで、Windowsユーザーは脆弱性のないバージョンをダウンロードできないことが分かったと報告した。

　Windows版の問題は、Secuniaのセキュリティソフト「Software Inspector」のユーザーから苦情が寄せられたことで判明した。QuickTimeの最新版をダウンロードしたのに、Software Inspectorがまだ脆弱性警告を表示するという苦情を受け、Secuniaで最新版をダウンロードして検証したところ、脆弱性を悪用することができてしまったという。

　AppleはQuickTimeのパッチ公開後も、脆弱性修正済みのバージョンでなく、脆弱性のあるバージョンをダウンロード提供しているとSecuniaは指摘。Windowsユーザーがセキュリティアップデートを適用するためにはダウンロードとはまったく別の複雑な手順が必要で、しかもその手順はどこにも記載されていないという。

　QuickTimeの脆弱性はApple製品のバグ情報公開プロジェクト「MOAB」(Month of Apple Bugs）で詳しい情報とコンセプト実証コードが公開され、「MySpaceワーム」などの形で実際に悪用されている。Secuniaによると、QuickTimeは個人のPCの50％以上に導入されているという。