CanSecWestのハッキングコンテストで、AppleのSafariブラウザにゼロデイの脆弱性が発見されたと報じられたが、実はQuickTimeの脆弱性だった。
カナダで開催されたセキュリティカンファレンス、CanSecWestのハッキングコンテストにおいて、AppleのSafariブラウザにゼロデイの脆弱性が発見されたと報じられた。だが実際には、脆弱性はメディアプレイヤーのQuickTimeに存在していた模様だ。
問題の脆弱性はディノ・ダイ・ゾビ氏が発見し、これを使ってCanSecWestのコンテストでMacBook Proのハッキングに成功した。
セキュリティ情報ブログのMatasano Chargenなどが伝えたところでは、ディノ氏が使ったのはQuickTimeの脆弱性だったことが判明。QuickTimeがインストールされていれば、Safari以外のJava対応ブラウザも攻撃に使われる可能性があるという。
Matasano Chargenによると、Intel Macでは、FirefoxとSafariがこの脆弱性を突いた攻撃に利用できることが確認された。WindowsでもQuickTimeがインストールされていれば、Firefoxで危険にさらされると推定できるという。
Secuniaは4月24日、AppleのQuickTimeに、新たな脆弱性が報告されたとしアドバイザリーを発行した。悪用されるとシステムへのアクセスを許し、任意のコード実行につながるおそれがあるという。
Secuniaのアドバイザリーによると、脆弱性はJavaコード処理時の予期せぬエラーに起因する。Javaを有効にした状態のWebブラウザで悪意あるWebサイトにアクセスすると、脆弱性を悪用され、任意のコードが実行される可能性があるという。
脆弱性が影響するのは、QuickTime 7.x以前のすべてのバージョン。CanSecWestではMac OS XとSafariの組み合わせでハッキングが成功したが、Firefoxでも同様の脆弱性が確認されたという。さらに、ほかのプラットフォームやWebブラウザも同様に影響を受ける可能性がある。
現在のところ、ベンダーからのパッチは提供されていない。WebブラウザのJava機能を無効にすること、信頼できないWebサイトを不用意に訪れないことが回避策として挙げられている。
Copyright © ITmedia, Inc. All Rights Reserved.