QuickTimeにまた新たな脆弱性、実証コードも公開




 11月上旬にアップデートが公開されたばかりのApple QuickTimeにまた新たな脆弱性が報告され、米US-CERTがアドバイザリーを公開した。

 US-CERTによると、QuickTimeがサポートしているRTSP(Real Time Streaming Protocol)に、11月24日の時点でバッファオーバーフローの脆弱性が存在する。

 攻撃者は、ユーザーをだまして細工を施したRTSPストリームをロードさせることで、リモートから任意のコードを実行することが可能になる。RTSPストリームをロードさせるには、QuickTime Media Linkファイルなど、さまざまな種類のWebコンテンツが利用できるという。

 QuickTimeはiTunesのコンポーネントでもあるため、iTunesもこの脆弱性の影響を受ける。

 脆弱性を突いたコンセプト実証コードも公開されているが、現時点で公式パッチはリリースされておらず、解決策は存在しない。ただ、プロキシ/ファイアウォールでRTSPプロトコルをブロックすれば、問題を回避する一助にはなるとしている。

 攻撃者がWebサイトで悪質なQuickTimeファイルをホスティングする可能性もあるため、メールやIM(インスタントメッセンジャー)などで届いた不審なリンクを不用意にクリックしないよう、US-CERTはユーザーに注意を促している
(2007.11.26/ITmediaエンタープライズ)
[PR]

by fbitnews2006-6 | 2007-11-26 17:30 | インターネット総合  

<< <PSP>新モデル出荷が100... RIM、「iPhone」対抗機... >>