QuickTimeの脆弱性、Firefoxがアップデートで対処

[ITmedia]

　Appleのメディア再生ソフトQuickTimeにFirefoxを使って悪用できる脆弱性が見つかった問題で、Mozillaは9月18日、この問題に対処したアップデート版のFirefox 2.0.0.7を公開した。Appleがパッチをリリースするまでの間、ユーザーを守るための措置だと説明している。

　QuickTimeの脆弱性は、QuickTimeリンク（.qtl）ファイルの「qtnext」パラメータ処理方法に関する設計上のエラーに起因する。Firefox 2.0.0.6またはそれ以前のバージョンがデフォルトのWebブラウザになっている場合、この問題を悪用してリモートでスクリプトコマンドを実行することが可能になり、マルウェアをインストールされたりデータを盗まれる恐れがある。

　実際に、Firefox経由でQuickTimeの脆弱性を悪用するエクスプロイトコードも公開されている。

　Mozillaによれば、Firefox 2.0.0.5ではこの種の攻撃を防ぐ措置が取られたが、QuickTimeではその措置がかわされてしまうという。このため2.0.0.7では、コマンドラインから任意のスクリプトを実行できる機能を削除した。

　しかし、ほかのコマンドラインオプションはまだ残っており、QuickTimeのパッチが公開されるまでは、QuickTimeのメディアリンクファイルを使ってポップアップウィンドウやダイアログが表示されるなどの問題は発生し得るという。