QuickTimeにまた新たな脆弱性、実証コードも公開

[ITmedia]

　11月上旬にアップデートが公開されたばかりのApple QuickTimeにまた新たな脆弱性が報告され、米US-CERTがアドバイザリーを公開した。

　US-CERTによると、QuickTimeがサポートしているRTSP（Real Time Streaming Protocol）に、11月24日の時点でバッファオーバーフローの脆弱性が存在する。

　攻撃者は、ユーザーをだまして細工を施したRTSPストリームをロードさせることで、リモートから任意のコードを実行することが可能になる。RTSPストリームをロードさせるには、QuickTime Media Linkファイルなど、さまざまな種類のWebコンテンツが利用できるという。

　QuickTimeはiTunesのコンポーネントでもあるため、iTunesもこの脆弱性の影響を受ける。

　脆弱性を突いたコンセプト実証コードも公開されているが、現時点で公式パッチはリリースされておらず、解決策は存在しない。ただ、プロキシ／ファイアウォールでRTSPプロトコルをブロックすれば、問題を回避する一助にはなるとしている。

　攻撃者がWebサイトで悪質なQuickTimeファイルをホスティングする可能性もあるため、メールやIM（インスタントメッセンジャー）などで届いた不審なリンクを不用意にクリックしないよう、US-CERTはユーザーに注意を促している。