11月上旬にアップデートが公開されたばかりのApple QuickTimeにまた新たな脆弱性が報告され、米US-CERTがアドバイザリーを公開した。
US-CERTによると、QuickTimeがサポートしているRTSP(Real Time Streaming Protocol)に、11月24日の時点でバッファオーバーフローの脆弱性が存在する。
攻撃者は、ユーザーをだまして細工を施したRTSPストリームをロードさせることで、リモートから任意のコードを実行することが可能になる。RTSPストリームをロードさせるには、QuickTime Media Linkファイルなど、さまざまな種類のWebコンテンツが利用できるという。
QuickTimeはiTunesのコンポーネントでもあるため、iTunesもこの脆弱性の影響を受ける。
脆弱性を突いたコンセプト実証コードも公開されているが、現時点で公式パッチはリリースされておらず、解決策は存在しない。ただ、プロキシ/ファイアウォールでRTSPプロトコルをブロックすれば、問題を回避する一助にはなるとしている。
攻撃者がWebサイトで悪質なQuickTimeファイルをホスティングする可能性もあるため、メールやIM(インスタントメッセンジャー)などで届いた不審なリンクを不用意にクリックしないよう、US-CERTはユーザーに注意を促している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR