「QuickTimeのメディアフォーマットがFirefoxをハッキングできてしまう」脆弱性があるという。
US-CERTは9月12日、MozillaのFirefoxブラウザとAppleのメディア再生ソフトQuickTimeをインストールしたユーザーを標的として、エクスプロイトコードが公開されたと明らかにした。
このエクスプロイトではリモートの認証を受けないユーザーが、影響を受けるシステム上で任意のコマンドを実行できてしまうという。
Firefoxをめぐっては7月に、Internet Explorer(IE)の関与で生じる深刻な脆弱性が報告されて問題になった。
US-CERTの今回のアラートは、ハッカー組織「GNUCITIZEN」のサイトに12日付で掲載された情報を指すとみられる。同サイトでは「QuickTimeのメディアフォーマットがFirefoxをハッキングできてしまう」脆弱性があると指摘した。
同組織は2006年、QuickTimeの脆弱性情報を2件公開し、1件目は修正されたが2件目は無視されたと主張。そこで「低リスクの問題が高リスクの攻撃につながり得ることを示す」目的で、今回のコンセプト実証コードを公開したと説明している。
この脆弱性を悪用されればWebブラウザが完全に制御され、OSの制御にもつながる可能性があると同サイトは指摘。エクスプロイトはクロスプラットフォームであり、QuickTimeはiTunesのデフォルトでインストールされるため、iTunesユーザーも影響を受けると解説している。
Copyright © ITmedia, Inc. All Rights Reserved.