米Appleが米国時間1月23日,メディア・プレーヤ・ソフトウエア「QuickTime 7.1.3」のセキュリティ・ホール「CVE-2007-0015」対策のセキュリティ・アップデート(修正パッチ)「Security Update 2007-001」を公開した。修正対象は,Mac OS X v10.3.9/10.4.8,Mac OS X Server v10.3.9/10.4.8,Windows XP/2000上のQuickTime。
CVE-2007-0015は,QuickTimeがReal-Time Streaming Protocol(RTSP)URLの処理時にバッファ・オーバーフローを起こすというもの。悪意のあるWebサイトを訪問すると,任意のコードを遠隔実行される危険性がある。このバッファ・オーバーフローを確認できるQTLファイル(QuickTime用メタファイル)は,OS関連のバグを毎日1件ずつ公表する活動「Month of Kernel Bugs」の「Month of Apple Bugs(MOAB)」がWebサイト「MOAB-01-01-2007」で公開している(関連記事)。
同セキュリティ・アップデートは,Mac OS Xの「Software Update」機能で適用するか,AppleのWebサイトからダウンロードして利用できる。
米メディア(CNET News.com)によると,このセキュリティ・ホールはMOABが活動開始の初日に指摘したもので,問題と攻撃コードの詳細が公表されてからセキュリティ・アップデート公開までに23日かかったという。
[発表資料へ]
