ITmedia NEWS > セキュリティ >
ニュース
» 2007年11月29日 10時12分 UPDATE

QuickTimeの脆弱性突くエクスプロイトが相次ぎ公開

QuickTimeのゼロデイの脆弱性発覚を受け、リモートからのコード実行などが可能になるエクスプロイト公開の報告が相次いでいる。

[ITmedia]

 QuickTimeのゼロデイの脆弱性を突いたエクスプロイト公開の報告が相次いでいる。セキュリティ企業のSymantecやTrend Miceroが11月28日付のブログで伝えた。

 脆弱性はQuickTimeのRTSP(Real Time Streaming Protocol)に存在し、最新バージョンの7.3にも影響する。US-CERTは11月24日のアドバイザリーで、コンセプト実証(PoC)コードの存在を指摘していたが、Symantecによると、脆弱性情報が公開されてから4日後に、また新たなPoCが公開された。

 当初のPoCではシェルコードが悪質なRTSPデータストリームに含まれていたが、今回はシェルコードがストリームとは別に、JavaScript経由で送られる仕組みになっているという。これにより、攻撃者が自分たちのシェルコードを使うのがずっと容易になったとSymantecは解説する。

 一方Trend Miceroは、新しいエクスプロイトが3件公開されたと伝えている。これらエクスプロイトは、悪質なRTSPリスポンスヘッダを送る仕掛けになっていて、QuickTime Playerを使っているコンピュータでリモートからのコード実行が可能になるという。

 これを使った攻撃としては、悪質なRTSPリンクを組み込んでユーザーをエクスプロイトにリダイレクトするWebサイトを作成したり、エクスプロイトにつながるメディアリンクをユーザーのMessengerに送信するといった手口が考えられる。

画像 QuickTimeでエクスプロイトにリダイレクトする不正なRTSPリンクを開く(Trend Microより)
画像 RTSPが使う554番ポート経由で不正コードが実行される(Trend Microより)

 ユーザーが悪質リンクやメディアを閲覧しようとすると、QuickTime Playerでリンクが開かれ、エクスプロイトが554番ポート経由でレスポンスを送信。シェルコードが被害者のマシンで実行される。

 現時点でまだQuickTimeのパッチが公開されていないため、Trend Miceroは出所不明のリンクなどを開くことを避けるよう呼びかけるとともに、554番ポートへの接続遮断も勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.