速報
Firefox関与のQuickTime脆弱性、US-CERTなどが危険度「高」と評価
細工を施したQuickTimeファイルをユーザーが開くと、任意のコードを実行されてしまう恐れがある。
MozillaのFirefoxブラウザ経由でAppleのメディア再生ソフトQuickTimeの脆弱性を悪用するエクスプロイトコードが公開された問題で、米US-CERTや仏FrSIRTが正式なアドバイザリーを公開した。
FrSIRTによると、QuickTimeリンク(.qtl)ファイルの「qtnext」パラメータ処理方法に設計上のエラーが存在する。影響を受けるのはQuickTimeのバージョン7.xで、深刻度は4段階で最大の「Critical」と評価している。
US-CERTによれば、QuickTimeにリンクさせたファイルはWebページに組み込んで、ユーザーがそのページを訪れると自動的に立ち上げるようにすることが可能。リモートの攻撃者がユーザーをだまして細工を施したQuickTimeファイルを開かせることにより、任意のコードを実行できてしまう恐れがある。
現在公開されているコンセプト実証コードは、Firefoxがデフォルトブラウザになっているシステムをターゲットとしているが、ほかのアプリケーションもこの脆弱性の影響を受けるという。
Appleの公式パッチはまだリリースされていない。当面の回避策としてUS-CERTでは、Firefox拡張機能のNoScriptを使うなどしてQuickTimeムービーへのアクセスを制限する方法を紹介している。
関連記事
- FirefoxとQuickTime悪用のエクスプロイトが公開
「QuickTimeのメディアフォーマットがFirefoxをハッキングできてしまう」脆弱性があるという。 - Firefoxの脆弱性、IE経由で悪用される恐れ
FirefoxとIEの対立が、セキュリティ問題という形で浮上した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.