• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

QuickTimeの脆弱性を突く攻撃出現、修正版はいまだに公開されず

勝村 幸博=日経パソコン 2007/12/03 日経パソコン

 米シマンテックは2007年12月1日(米国時間)、米アップルの音楽/動画再生ソフト「QuickTime」の脆弱(ぜいじゃく)性を悪用する攻撃が確認されたとして注意を呼びかけた。QuickTimeがインストールされた環境では、細工が施されたWebサイトにアクセスするだけで、悪質なプログラム(ウイルスなど)を勝手にインストールされる恐れがある。修正版やセキュリティアップデート(修正パッチ)は未公開。

 悪用が確認された脆弱性は、ポーランドのセキュリティ研究者によって2007年11月23日に報告されたもの。RTSP(Real Time Streaming Protocol)というプロトコルの処理に関する脆弱性で、細工が施されたファイルやWebページを開くだけで被害に遭う恐れがある。

 実際、11月24日以降、この脆弱性を悪用することが可能であることを示す実証コードがインターネット上で公開されている。このため海外のセキュリティベンダーや組織は、同日以降、注意を呼びかけていた。

 そして今回、この脆弱性を実際に悪用するプログラムが確認された。シマンテックによれば、あるアダルトサイトには、ユーザーを攻撃サイトに誘導するコード(iframe)が仕込まれているという。このため、QuickTimeがインストールされたパソコンでこのサイトにアクセスすると、脆弱性を突くプログラムが攻撃サイトから勝手にダウンロードされて実行されるという。

プログラムの実体は……次のページへ

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ プログラムの実体は、「ダウンローダー」に分類され...
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    これはすごい!Amazon Dash Buttonでツイートできた

     前回、Amazon Dash Buttonの動作を解析して、ボタンを押したときにプレゼンテーションのスライドをめくるハックを実現した。今回はDash Buttonのインターネットへの通信をハックして、ツイートしてみる。正しいサーバーと通信していると思い込ませてボタンの動作を監視する。

  • 【グルメサイトRettyのAI舞台裏】

    RettyはAI基盤をアキバで調達

     実名型口コミのグルメ情報サービスRettyでは、独自のAI開発に取り組み、従来人手に頼ってきた仕事を着々とAI(人工知能)に置き換えています。インターンシップのコストや人件費は別として、AI基盤に投じたのは約50万円のみです。今回は、RettyでどのようにAI基盤を構築したかについて紹介します。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る