ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

QuickTimeの脆弱性でUS-CERTがアラート公開

» 2007年01月13日 09時54分 公開
[ITmedia]

 Apple QuickTimeの脆弱性が原因でリモートのWebサイトからローカルファイルシステムのコンテンツを参照できてしまう問題について、US-CERTが1月12日、アラートを掲載した。

 この問題は当初「MySpaceワーム」として報告され、1月に入ってApple製品のバグ情報公開プロジェクト「MOAB」(Month of Apple Bugs)で詳しい情報とコンセプト実証コードが公開されている。

 US-CERTによると、Apple QuickTimeのプラグインを実行しているブラウザで、リモートのWebサイトからローカルファイルシステムのコンテンツを参照することができてしまい、攻撃者がローカルマシンのセキュリティをかいくぐってスクリプトを実行することが可能になる。

 MicrosoftのInternet Explorer(IE)やApple SafariでApple QuickTimeプラグインを実行している場合、Webサイトからローカルファイルシステム上のコンテンツへのアクセスが制限されないという。

 攻撃者はWebサイトで悪質なQuickTimeファイルをホスティングし、メールやIMなどあらゆる手を使ってユーザーをそのサイトにおびき寄せようとする可能性がある。

 現時点で解決策は存在せず、US-CERTではIEでQuickTime ActiveXコントロールを無効にする、QuickTimeファイルの関連付けを無効にする、信頼できないリンクはクリックしないなどの回避策を紹介している。

 MOABのサイトに掲載された情報によれば、この問題の影響を受けるのはQuickTime 7.1.3とそれ以前のバージョン。

 AppleはMySpaceワームに対処するパッチをリリースしたが、このパッチをテストしてみたところ何の効果もないようだとMOABのサイトは報告。適切なパッチが公開されるまで、QuickTimeをアンインストールすることが望ましいと結んでいる。

Copyright © ITmedia, Inc. All Rights Reserved.