米アップルは2007年10月3日(米国時間)、同社の音楽/動画再生ソフト「QuickTime 7.2 for Windows」の脆弱(ぜいじゃく)性を解消するセキュリティアップデート(修正パッチ)を公開した。同社では、すべてのユーザーに対してアップデートの適用を推奨している。
Windows版のQuickTimeには、QuickTimeリンクファイル(.qtl)に関する脆弱性が見つかっている。この脆弱性は、QuickTimeリンクファイルを使えば、任意のオプションを付けてアプリケーションを起動できるというもの。Mac OS X版のQuickTimeには今回の脆弱性は存在しない。
この脆弱性を悪用されると、攻撃者が用意したWebサイトにアクセスするだけで、悪質なプログラム(ウイルス)を実行される恐れがある。そのような攻撃を受ける危険性があるのは、QuickTimeがインストールされていて、なおかつFirefoxが既定のWebブラウザーに設定されているWindows環境。Firefoxには、任意のコマンドを実行できるオプション(-chrome)が用意されているためだ。
このため、Firefoxを開発・配布する米モジラ財団(Mozilla Foundation)は9月18日、QuickTimeの脆弱性に対応した新版「Firefox 2.0.0.7」をリリース。新版では、「-chrome」オプションを悪用されないようにした。つまり、新版をインストールしている環境では、QuickTimeの脆弱性を突かれても、悪質なプログラムを実行される危険性はなくなった。
しかしながら、Firefox経由以外でQuickTimeの脆弱性を悪用される危険性は残っていた。今回公開されたセキュリティアップデートを適用すれば、その危険性も解消できる。
セキュリティアップデートは同社のWebサイトから入手できる。QuickTimeなどと同時にインストールできるアップデート用ソフト「Apple Software Update for Windows」からも適用可能。セキュリティアップデートの適用対象は、Windows XP SP2あるいはVista上で動作するQuickTime 7.2 for Windows。
