QuickTimeを利用したMySpaceワームが出現した問題で、セキュリティ企業のF-Secureは12月11日、この問題の原因はQuickTimeの脆弱性にあると断定し、ブログで報告した。
同社が先に報告した「Quickspace」ワームは、Apple ComputerのQuickTimeファイルを利用してMySpaceのユーザープロフィルページで不正なJavaScriptを挿入・実行してしまう。
F-Secureはその後の調べで、問題はMySpaceではなく、QuickTimeの「機能」にあることが分かったと説明。QuickTimでは外部のJavaScriptをロードして実行する前にユーザーに警告を表示しておらず、これは明らかに脆弱性だとF-Secureは述べている。
しかし同社によれば、Appleではこれをセキュリティ問題と認めず、適切な機能だと説明しているという。AppleからMySpaceに対しては一時的なパッチが提供されたが、対象はIEを使っているMySpaceユーザーのみ。IE以外のブラウザを使っているMySpaceユーザーやほかのサイトでは依然として、Quickspaceのようなワームの攻撃を受ける可能性があるとしている。
F-Secureでほかのサイトもテストしたところ、QuickTimeコンテンツの組み込みが可能ならほかのサイトでも影響を受けることが判明。また、Mac OS Xで動作するQuickTime v7.1.3でも問題が確認され、WindowsとMac OSの両方に影響することが分かったという。
現時点で唯一の回避策として、SNSなどのWebサイトはAppleが脆弱性を修正するまで、ユーザーがApple QuickTimeコンテンツを一切アップロードできないようにするしかないとF-Secureは解説している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR