米Apple Computerは現地時間9月12日,同社の音楽/動画再生ソフト「QuickTime」に複数のセキュリティ・ホールが見つかったことを明らかにした。細工が施された画像/動画を読み込むだけで,悪質なプログラムを実行される恐れがある。対策は,最新版のQuickTime 7.1.3へアップグレードすること。
QuickTime 7.1.3では,以下のセキュリティ・ホールが修正されている。いずれも,画像あるいは動画の処理に関するセキュリティ・ホールである。
- H.264動画の処理に関するバッファ・オーバーフロー/整数オーバーフローのセキュリティ・ホール(CVE-2006-4381,CVE-2006-4386)
- QuickTime動画の処理に関するバッファ・オーバーフローのセキュリティ・ホール(CVE-2006-4382)
- FLC動画の処理に関するバッファ・オーバーフローのセキュリティ・ホール(CVE-2006-4384)
- FlashPixファイルの処理に関するバッファ・オーバーフロー/整数オーバーフローのセキュリティ・ホール(CVE-2006-4388)
- FlashPixファイルの初期化処理に関するセキュリティ・ホール(CVE-2006-4389)
- SGI画像の処理に関するバッファ・オーバーフローのセキュリティ・ホール(CVE-2006-4385)
いずれについても,細工が施された画像/動画を読み込むだけで,任意のプログラムを実行されたり,QuickTimeを不正終了させられたりする恐れがある。そういった画像/動画が置かれたWebページにアクセスするだけでも被害に遭う。
対策は,セキュリティ・ホールを修正したQuickTime 7.1.3へアップグレードすること。同社のダウンロード・サイトから入手できる。ダウンロード・サイトのURLは以下の通り。
- Mac OS X版のダウンロード・サイト
http://www.apple.com/jp/quicktime/download/mac.html - Windows版(iTunesを含む)のダウンロード・サイト
http://www.apple.com/jp/quicktime/download/win.html - iTunesを含まないスタンドアロン版のダウンロード・サイト(Windows版/Mac OS X版)
http://www.apple.com/jp/quicktime/download/standalone.html
対応OSは,Windows版はWindows 2000/XP,Mac OS X版はMac OS X v10.3.9以降。なおMac版については,Mac OS Xが備える「ソフトウェア・アップデート」機能を使ってもアップグレードできる。