Safariの脆弱性、実はQuickTimeの問題

[ITmedia]

　カナダで開催されたセキュリティカンファレンス、CanSecWestのハッキングコンテストにおいて、AppleのSafariブラウザにゼロデイの脆弱性が発見されたと報じられた。だが実際には、脆弱性はメディアプレイヤーのQuickTimeに存在していた模様だ。

　問題の脆弱性はディノ・ダイ・ゾビ氏が発見し、これを使ってCanSecWestのコンテストでMacBook Proのハッキングに成功した。

　セキュリティ情報ブログのMatasano Chargenなどが伝えたところでは、ディノ氏が使ったのはQuickTimeの脆弱性だったことが判明。QuickTimeがインストールされていれば、Safari以外のJava対応ブラウザも攻撃に使われる可能性があるという。

　Matasano Chargenによると、Intel Macでは、FirefoxとSafariがこの脆弱性を突いた攻撃に利用できることが確認された。WindowsでもQuickTimeがインストールされていれば、Firefoxで危険にさらされると推定できるという。

　Secuniaは4月24日、AppleのQuickTimeに、新たな脆弱性が報告されたとしアドバイザリーを発行した。悪用されるとシステムへのアクセスを許し、任意のコード実行につながるおそれがあるという。

　Secuniaのアドバイザリーによると、脆弱性はJavaコード処理時の予期せぬエラーに起因する。Javaを有効にした状態のWebブラウザで悪意あるWebサイトにアクセスすると、脆弱性を悪用され、任意のコードが実行される可能性があるという。

　脆弱性が影響するのは、QuickTime 7.x以前のすべてのバージョン。CanSecWestではMac OS XとSafariの組み合わせでハッキングが成功したが、Firefoxでも同様の脆弱性が確認されたという。さらに、ほかのプラットフォームやWebブラウザも同様に影響を受ける可能性がある。

　現在のところ、ベンダーからのパッチは提供されていない。WebブラウザのJava機能を無効にすること、信頼できないWebサイトを不用意に訪れないことが回避策として挙げられている。