海外のセキュリティベンダーや組織は2007年11月24日以降、米アップルの音楽/動画再生ソフト「QuickTime」に新たな脆弱(ぜいじゃく)性が見つかったとして注意を呼びかけている。細工が施されたファイルやWebページを開くだけで、ウイルスなどを勝手に実行される恐れがある。脆弱性を突くことが可能であることを示すプログラム(実証コード)も公開されている。脆弱性を解消した修正版やセキュリティアップデート(修正パッチ)は未公開。
今までにも、QuickTimeには何度も脆弱性が見つかっていて、そのたびに、脆弱性を解消した修正版やセキュリティアップデートをアップルは公開してきた。最近では、複数の脆弱性を修正した最新版「QuickTime 7.3」が11月5日に公開された。しかし、今回公表された脆弱性はQuickTime 7.3で修正されたものとは異なり、QuickTime 7.3も影響を受ける。
今回の脆弱性は、RTSP(Real Time Streaming Protocol)というプロトコルの処理に関するもの。RTSPは、音声や動画などのストリーミングデータを送受信する際に使われるプロトコル。RTSPを処理するプログラムに「バッファーオーバーフロー」という問題を引き起こす脆弱性が見つかった。
このため、細工が施されたデータをRTSPで送信されるとバッファーオーバーフローが発生し、データに含まれる悪質なプログラム(ウイルスなど)を勝手に実行されたり、QuickTimeが不正終了したりする。RTSPによる通信は、QuickTimeが扱えるファイルを開いた場合や、そういったファイルが置かれたWebサイトにアクセスした場合に自動的に開始される。つまり、悪質なファイルを開いたり、攻撃者が用意したWebサイトにアクセスしたりするだけで、被害に遭う恐れがある。
実際、今回の脆弱性を悪用することが可能であることを示す実証コードが公開されている。米シマンテックが11月25日(米国時間)に公開した情報によれば、Webブラウザー「Firefox」経由で、この実証コードが“正しく”動作することを確認しているという(図)。
脆弱性の影響を受けるのは、QuickTime 7.3およびそれ以前。最新版がバージョン7.3なので、すべてのQuickTimeユーザーが影響を受ける可能性がある。また、アップルの音楽管理・再生ソフト「iTunes」にはQuickTimeが含まれているため、iTunesのユーザー(iTunesをインストールしている環境)も影響を受ける。
現時点(11月27日午前11時現在)では、修正版やセキュリティアップデートは公開されていない。このため、「信頼できないファイルは開かない」「信頼できないWebサイトにはアクセスしない」「RTSPが使用するポート(554/tcpや6970-6999/udp)をファイアウオールなどでふさぐ」「QuickTimeのプラグイン(ActiveXコントロール)を無効にする」――などが回避策となる。プラグインを無効にする方法などについては、米US-CERTの情報などに詳しく記載されている。
