Appleは米国時間の5月1日、ハッキングコンテストで明らかになったQuickTimeの脆弱性を修正するセキュリティアップデートを公開した。
Appleは米国時間の5月1日、QuickTimeのセキュリティアップデートを公開した。ハッキングコンテストを通じて明らかになった脆弱性を修正したもので、早急なアップデートが推奨される。
「QuickTime 7.1.6」は、QuickTime for Javaに存在する脆弱性を修正したもの。対応しているプラットフォームは、Mac OS X v10.3.9/v10.4.9とWindows XP SP2、2000 SP4で、MacintoshだけでなくWindowsでもアップデートが必要だ。
この脆弱性は、悪意あるWebサイトにアクセスし、細工を施されたJavaアプレットを読み込むとヒープオーバーフローが発生し、任意のコードを実行される恐れがある。事実、この脆弱性を付いた悪用コードを仕掛けた悪質サイトの存在が報じられていた。
脆弱性の存在が明らかになったのは、4月下旬にカナダで開催されたセキュリティカンファレンス「CanSecWest」のハッキングコンテストにおいてだった。発見者のディノ・ダイ・ゾビ氏はこの脆弱性を使ってMacBook Proのハッキングに成功し、賞品としてそのMacBookを授与されていた。Appleは、ゼロデイ状態で脆弱性が報告されてから12日あまりで修正を公開したことになる。
なおAppleは同時に、4月19日に公開した「セキュリティアップデート2007-004」の問題を修正したバージョン1.1も公開した。この新バージョンでは、スリープモードから復帰した際に接続が失われてしまうというAirPortの問題と、FTP接続時に権限以外のディレクトリにアクセスできてしまう可能性があるFTPServerの問題が修正されている。
Copyright © ITmedia, Inc. All Rights Reserved.