米Apple Computerは米国時間10月27日,同社の音楽/動画再生ソフト「QuickTime」のWindows版に危険な2種類のセキュリティ・ホールがあることを公表した。うち1種類については詳細が明らかにされていないが,Webページを閲覧するだけで任意のプログラムを実行させられるキュリティ・ホールのようだ。対策は,同日公開された最新版のQuickTime 6.5.2をインストールすること。
Mac OS X版については,1つのセキュリティ・ホールについては影響を受けず,もう1つについては9月にセキュリティ・アップデートが公開済み(関連記事)。ただし,Mac OS X用の別のセキュリティアップデートも同日公開されている。「Apple Remote Desktop」に見つかったセキュリティ・ホールを修正するためのものだ。Mac OS Xユーザーは,このアップデートを適用しておきたい。
セキュリティ・ホールは2種類
バージョン6.5.1以前(6.5.1を含む)のWindows版QuickTimeに見つかったセキュリティ・ホールは2つ。1つは,細工が施されたBMPファイルを読み込むと,任意のプログラムを実行させられるセキュリティ・ホール。Mac OS X版にも同様のセキュリティ・ホールが存在するが,9月に公開されたセキュリティ・アップデートを適用すれば解消できる(関連記事)。
Windwows版だけが影響を受けるもう1つのセキュリティ・ホールについては,どういった場合に被害を受けるのかが明らかにされていない。Appleの情報では「HTML環境(HTML environment)」で発生すると書かれているだけだ。今回のセキュリティ・ホールを発見した英NGSSoftwareも,詳細については伏せている。セキュリティ関連メーリング「Bugtraq」への投稿によると,「2005年1月28日に詳細を明らかにする予定」であるという。すぐに詳細を明らかにすると,悪用される恐れがあるためだ。このことからも,今回のセキュリティ・ホールの影響の大きさがうかがえる。
ベンダーなどが公開したセキュリティ・ホール情報を公表している*デンマークSecuniaによれば,細工が施されたHTMLドキュメント(Webページ)を閲覧しただけで,任意のプログラムを実行させられるという。
*Secunia自身がセキュリティ・ホールを発見する場合もある
とても危険なセキュリティ・ホールなので,Windows版QuickTimeユーザーは,10月27日に公開されたQuickTime 6.5.2を早急にインストールしたほうがよい。「QuickTime - ダウンロード」などからダウンロードできる。
ただし現時点(10月29日16時)では,「QuickTime - ダウンロード」の「Windows 98/Me/2000/XP」からダウンロードできるのはQuickTime 6.5.1なので要注意。インストールしようとすると,ウイザードには「QuickTime 6.5.1にようこそ」と表示される。なお,日本法人のアップルコンピュータによると,「Windows 2000/XP QuickTime + iTunes Combo」からダウンロードできるQuickTimeは最新版の6.5.2。近日中には「Windows 98/Me/2000/XP」からもQuickTime 6.5.2をダウンロードできるようになるという。
【11月4日追記】11月4日,「Windows 98/Me/2000/XP」からもQuickTime 6.5.2をダウンロードできることを編集部で確認した。【以上,11月4日追記】
◎参考資料
◆Apple Security Updates(米Apple Computer)
◆無償プレーヤーのダウンロード(アップル-QuickTime-ダウンロード)
◆QuickTime 6.5.2(日本語ページ)
◆High Risk Vulnerability in Quicktime for Windows(Bugtraq)
◆Quicktime Two Vulnerabilities(デンマークSecunia)
(勝村 幸博=IT Pro)
