ニュース
QuickTimeの脆弱性、Firefoxがアップデートで対処
Firefox 2.0.0.7は「Appleがパッチをリリースするまでの間、ユーザーを守るための措置」となる。
Appleのメディア再生ソフトQuickTimeにFirefoxを使って悪用できる脆弱性が見つかった問題で、Mozillaは9月18日、この問題に対処したアップデート版のFirefox 2.0.0.7を公開した。Appleがパッチをリリースするまでの間、ユーザーを守るための措置だと説明している。
QuickTimeの脆弱性は、QuickTimeリンク(.qtl)ファイルの「qtnext」パラメータ処理方法に関する設計上のエラーに起因する。Firefox 2.0.0.6またはそれ以前のバージョンがデフォルトのWebブラウザになっている場合、この問題を悪用してリモートでスクリプトコマンドを実行することが可能になり、マルウェアをインストールされたりデータを盗まれる恐れがある。
実際に、Firefox経由でQuickTimeの脆弱性を悪用するエクスプロイトコードも公開されている。
Mozillaによれば、Firefox 2.0.0.5ではこの種の攻撃を防ぐ措置が取られたが、QuickTimeではその措置がかわされてしまうという。このため2.0.0.7では、コマンドラインから任意のスクリプトを実行できる機能を削除した。
しかし、ほかのコマンドラインオプションはまだ残っており、QuickTimeのパッチが公開されるまでは、QuickTimeのメディアリンクファイルを使ってポップアップウィンドウやダイアログが表示されるなどの問題は発生し得るという。
関連記事
- Firefox関与のQuickTime脆弱性、US-CERTなどが危険度「高」と評価
細工を施したQuickTimeファイルをユーザーが開くと、任意のコードを実行されてしまう恐れがある。 - FirefoxとQuickTime悪用のエクスプロイトが公開
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.