米Apple Computerは現地時間5月11日,同社の音楽/動画再生ソフト「QuickTime」に12種類のセキュリティ・ホールが見つかったことを明らかにした。細工が施された画像/動画を読み込むと,中に仕込まれた悪質なプログラム(ウイルスなど)を実行させられる恐れがある。Mac版とWindows版の両方が影響を受ける。対策は,最新版のQuickTime 7.1にアップグレードすること。
今回明らかにされたセキュリティ・ホールは以下の12種類。いずれも,画像あるいは動画の処理に関するセキュリティ・ホールである。
- JPEG画像の処理に関する整数オーバーフロー(CVE-2006-1458)
- QuickTime動画の処理に関する整数オーバーフロー(CVE-2006-1459,CVE-2006-1460)
- Flash動画の処理に関するバッファ・オーバーフロー(CVE-2006-1461)
- H.264動画の処理に関する整数オーバーフロー(CVE-2006-1462,CVE-2006-1463)
- MPEG4動画の処理に関するバッファ・オーバーフロー(CVE-2006-1464)
- FlashPix画像の処理に関する整数オーバーフロー(CVE-2006-1249)
- AVI動画の処理に関するバッファ・オーバーフロー(CVE-2006-1465)
- PICT画像の処理に関するバッファ・オーバーフロー(CVE-2006-1453,CVE-2006-1454)
- BMP画像の処理に関するバッファ・オーバーフロー(CVE-2006-2238)
細工が施されたJPEG/FlashPix/PICT/BMP画像あるいはQuickTime/Flash/H.264/AVI動画を読み込むと,QuickTimeが不正終了したり,画像/動画に仕込まれた任意のプログラムを実行されたりする可能性がある。
対策は,これらのセキュリティ・ホールを修正した最新版QuickTime 7.1にグレードすること。同社のダウンロード・サイトから入手できる。ダウンロード・サイトのURLは以下の通り。
- Mac OS X版のダウンロード・サイト
http://www.apple.com/jp/quicktime/download/mac.html - Windows版(iTunesを含む)のダウンロード・サイト
http://www.apple.com/jp/quicktime/download/win.html - iTunesを含まないスタンドアロン版のダウンロード・サイト(Windows版/Mac OS X版)
http://www.apple.com/jp/quicktime/download/standalone.html
対応OSは,Windows版はWindows 2000/XP,Mac OS X版はMac OS X v10.3.9以降。なおMac版については,Mac OS Xが備える「ソフトウェア・アップデート」機能を使ってもアップグレードできる。
◎参考資料
◆About the security content of the QuickTime 7.1 Update(米Apple Computer)
◆QuickTime 7.1(Mac OS X v10.3.9以降)
◆QuickTime 7.1 + iTunes 6(Windows 2000/XP)
◆QuickTime Playerスタンドアロン版のダウンロード