Appleが公開したQuickTimeのセキュリティパッチはMac OS Xでしかダウンロードできず、Windows版の脆弱性は解消されていないと、セキュリティ企業のSecuniaが指摘した。
Appleは1月23日にQuickTimeの脆弱性に対処したセキュリティアップデート「2007-001」を公開。しかしSecuniaは25日付のブログで、Windowsユーザーは脆弱性のないバージョンをダウンロードできないことが分かったと報告した。
Windows版の問題は、Secuniaのセキュリティソフト「Software Inspector」のユーザーから苦情が寄せられたことで判明した。QuickTimeの最新版をダウンロードしたのに、Software Inspectorがまだ脆弱性警告を表示するという苦情を受け、Secuniaで最新版をダウンロードして検証したところ、脆弱性を悪用することができてしまったという。
AppleはQuickTimeのパッチ公開後も、脆弱性修正済みのバージョンでなく、脆弱性のあるバージョンをダウンロード提供しているとSecuniaは指摘。Windowsユーザーがセキュリティアップデートを適用するためにはダウンロードとはまったく別の複雑な手順が必要で、しかもその手順はどこにも記載されていないという。
QuickTimeの脆弱性はApple製品のバグ情報公開プロジェクト「MOAB」(Month of Apple Bugs)で詳しい情報とコンセプト実証コードが公開され、「MySpaceワーム」などの形で実際に悪用されている。Secuniaによると、QuickTimeは個人のPCの50%以上に導入されているという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR