山下眞一郎/富士通南九州システムエンジニアリング 第一ソリューション事業部 ネットソリューション部 担当部長

 前回のFlash Playerに引き続き,「QuickTimeでもセキュリティ・ホールが発見されており,アップデートが必要らしい。アップデート時に注意すべき点をアドバイスしてほしい」との相談を受けました。確かに,JVN(Japan Vulnerability Notes)でもQuickTimeに関する“緊急”レベルの警告が1件掲載されています。

■「VNVU#132419 Apple QuickTime の file:URL の処理に任意のコード実行の脆弱性 緊急」(公開日:2008/06/11)
■関連記事:Apple,5件の脆弱性を修復した「QuickTime 7.5」を公開(2008/06/11)

 セキュリティ・ホールは5件存在し,悪意のあるPICT画像やAACコンテンツ,Indeo videoメディア・コンテンツ,QuickTimeコンテンツなどをQuickTimeで再生すると,不正なコードを実行される可能性があるというレポートが米アップルから公開されています(残念ながら,執筆時点の6月12日には日本語ページはまだ存在しません)。

 対処方法は,セキュリティ・ホールを修正した最新版の「QuickTime 7.5」にアップデートすることです。Windows版も日本語のページ「アップル - QuickTime - ダウンロード」からダウンロードできます。ただし,JavaScriptを有効にしていなければダウンロードできませんので,注意してください。

図1 QuickTimeダウンロード不可画面
図1 QuickTimeダウンロード不可画面
[画像のクリックで拡大表示]

 このWebページから「QuickTime 7.5」を入手する場合には,特段の注意点はありません。ただ,アップルから提供される「Apple Software Update」アプリを使用して「QuickTime 7.5」へアップデートする際には注意点があります。

 それは,うっかりアップルのWebブラウザである「Safari」をインストールしないようにすることです。現在,Windows版「Safari」には,最新版でも未修正のセキュリティ・ホール(ゼロデイのぜい弱性)が存在しています。細工が施されたWebサイトに閲覧すると,悪意のあるプログラムを勝手にダウンロードおよび実行される可能性があります。

■マイクロソフト セキュリティ アドバイザリ(953818)「Apple製SafariがWindowsプラットフォーム上で使用された場合の複合的な脅威」(公開日:2008/05/31)
■関連記事:Windows版「Safari」にセキュリティ問題,Webアクセスで被害の恐れ 修正パッチなどは未公開,最善の対策は「Safariの使用を控える」こと(2008/06/02)