QuickTimeの脆弱性突くエクスプロイトが相次ぎ公開
QuickTimeのゼロデイの脆弱性発覚を受け、リモートからのコード実行などが可能になるエクスプロイト公開の報告が相次いでいる。 QuickTimeのゼロデイの脆弱性を突いたエクスプロイト公開の報告が相次いでいる。セキュリティ企業のSymantecやTrend Miceroが11月28日付のブログで伝えた。 脆弱性はQuickTimeのRTSP(Real Time Streaming Protocol)に存在し、最新バージョンの7.3にも影響する。US-CERTは11月24日のアドバイザリーで、コンセプト実証(PoC)コードの存在を指摘していたが、Symantecによると、脆弱性情報が公開されてから4日後に、また新たなPoCが公開された。 当初のPoCではシェルコードが悪質なRTSPデータストリームに含まれていたが、今回はシェルコードがストリームとは別に、JavaScript経由で送られる
またもやQuickTimeに危険な脆弱性、修正版は未公開
海外のセキュリティベンダーや組織は2007年11月24日以降、米アップルの音楽/動画再生ソフト「QuickTime」に新たな脆弱(ぜいじゃく)性が見つかったとして注意を呼びかけている。細工が施されたファイルやWebページを開くだけで、ウイルスなどを勝手に実行される恐れがある。脆弱性を突くことが可能であることを示すプログラム(実証コード)も公開されている。脆弱性を解消した修正版やセキュリティアップデート(修正パッチ)は未公開。 今までにも、QuickTimeには何度も脆弱性が見つかっていて、そのたびに、脆弱性を解消した修正版やセキュリティアップデートをアップルは公開してきた。最近では、複数の脆弱性を修正した最新版「QuickTime 7.3」が11月5日に公開された。しかし、今回公表された脆弱性はQuickTime 7.3で修正されたものとは異なり、QuickTime 7.3も影響を受ける。
QuickTimeのゼロデイ脆弱性は「極めて危険」
QuickTimeの脆弱性を突くコンセプト実証コードを使った攻撃は、Firefoxが最も被害に遭いやすいという。 AppleのQuickTimeに新たな未パッチの脆弱性が見つかった問題で、セキュリティ企業のSymantecは11月25日、最新バージョンの7.3に影響するコンセプト実証コード(PoC)が同日公開されたと伝えた。この問題ではUS-CERTに続き、デンマークのSecuniaや仏FrSIRTもアドバイザリーを公開している。 Symantecによると、公開されたコンセプト実証コードはスタンドアロンのQuickTimeで機能する。ブラウザプラグインのQuickTimeではシェルコードの実行はできないようだが、バッファオーバーフローでブラウザがクラッシュするという。 この脆弱性を突いた攻撃としては、電子メールにメディアファイルを装った悪質ファイルを添付したり、メールに記載したリンクで悪質
QuickTimeにまた新たな脆弱性、実証コードも公開
11月上旬にアップデートが公開されたばかりのApple QuickTimeにまた新たな脆弱性が報告され、米US-CERTがアドバイザリーを公開した。 US-CERTによると、QuickTimeがサポートしているRTSP(Real Time Streaming Protocol)に、11月24日の時点でバッファオーバーフローの脆弱性が存在する。 攻撃者は、ユーザーをだまして細工を施したRTSPストリームをロードさせることで、リモートから任意のコードを実行することが可能になる。RTSPストリームをロードさせるには、QuickTime Media Linkファイルなど、さまざまな種類のWebコンテンツが利用できるという。 QuickTimeはiTunesのコンポーネントでもあるため、iTunesもこの脆弱性の影響を受ける。 脆弱性を突いたコンセプト実証コードも公開されているが、現時点で公式パッチ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
