米Apple Computerは米国時間1月10日,同社の音楽/動画再生ソフト「QuickTime」にセキュリティ・ホールが見つかったことを明らかにした。細工が施された画像/マルチメディア・ファイルを読み込むと,中に仕込まれた悪質なプログラム(ウイルスなど)を実行させられる。Mac版とWindows版の両方が影響を受ける。対策は,最新版のQuickTime 7.0.4にアップデートすること。
今回明らかになったセキュリティ・ホールは以下の5種類。
(1)QuickTime TIF(QTIF)画像ファイルの処理に関するヒープ・オーバーフローのセキュリティ・ホール(CVE-2005-2340)
(2)TGA画像ファイルの処理に関するバッファ・オーバーフロー/整数オーバーフロー/整数アンダーフローのセキュリティ・ホール(CVE-2005-3707/CVE-2005-3708/CVE-2005-3709)
(3)TIFF画像ファイルの処理に関する整数オーバーフローのセキュリティ・ホール(CVE-2005-3710/CVE-2005-3711)
(4)GIF画像ファイルの処理に関するヒープ・オーバーフローのセキュリティ・ホール(CVE-2005-3713)
(5)マルチメディア・ファイルの処理に関するヒープ・オーバーフローのセキュリティ・ホール(CVE-2005-4092)
これらのセキュリティ・ホールを突かれると,QuickTimeが不正終了したり,攻撃者が意図するプログラムを勝手に実行されたりする可能性がある。つまり,細工が施されたGIF/TIFF/TGA/QTIF画像ファイルあるいはマルチメディア・ファイルを読み込むだけで,悪質なプログラムを勝手に実行される恐れがある。細工が施されたファイルにリンクが張られたWebサイトへアクセスするだけでも被害に遭う可能性がある。危険なセキュリティ・ホールなので早急に対応したい。なお,QuickTimeはユーザーがインストールした覚えがなくても,別のアプリケーション(iTuneなど)と同時にインストールされている場合が少なくないので要注意。
対策は,セキュリティ・ホールを解消したQuickTime 7.0.4にアップデートすること。ダウンロード・サイトから入手できる(Mac版のダウンロード・サイト,Windows版のダウンロード・サイト)。対象OSは,Mac OS X v10.3.9以降ならびにWindows 2000/XP。Windows版については,iTunesも同時にインストールされる。また,Mac版については,Mac OS Xが備える「ソフトウェア・アップデート」機能を使ってアップグレードできる。
【1月11日追記】iTunesを含まないスタンドアロン版のQuickTimeは,「QuickTime Playerスタンドアロン版のダウンロード」ページから入手できる。【以上,1月11日追記】
◎参考資料
◆About the security content of QuickTime 7.0.4
◆APPLE-SA-2006-01-10 QuickTime 7.0.4
◆Upgrade to Apple QuickTime Player 7.0.4
◆QuickTime 7.0.4
