米シマンテックは2007年12月1日(米国時間)、米アップルの音楽/動画再生ソフト「QuickTime」の脆弱(ぜいじゃく)性を悪用する攻撃が確認されたとして注意を呼びかけた。QuickTimeがインストールされた環境では、細工が施されたWebサイトにアクセスするだけで、悪質なプログラム(ウイルスなど)を勝手にインストールされる恐れがある。修正版やセキュリティアップデート(修正パッチ)は未公開。

 悪用が確認された脆弱性は、ポーランドのセキュリティ研究者によって2007年11月23日に報告されたもの。RTSP(Real Time Streaming Protocol)というプロトコルの処理に関する脆弱性で、細工が施されたファイルやWebページを開くだけで被害に遭う恐れがある。

 実際、11月24日以降、この脆弱性を悪用することが可能であることを示す実証コードがインターネット上で公開されている。このため海外のセキュリティベンダーや組織は、同日以降、注意を呼びかけていた。

 そして今回、この脆弱性を実際に悪用するプログラムが確認された。シマンテックによれば、あるアダルトサイトには、ユーザーを攻撃サイトに誘導するコード(iframe)が仕込まれているという。このため、QuickTimeがインストールされたパソコンでこのサイトにアクセスすると、脆弱性を突くプログラムが攻撃サイトから勝手にダウンロードされて実行されるという。

プログラムの実体は……次のページへ