Adobe Reader、QuickTime、Firefox――人気ソフトに脆弱性が相次ぐ
セキュリティ組織の米SANS Instituteなどは2008年2月8日、広く利用されているPDF閲覧ソフト「Adobe Reader」や音楽/動画再生ソフト「QuickTime」、Webブラウザー「Firefox」には危険な脆弱(ぜいじゃく)性が見つかっているとして注意を呼びかけた。いずれも、脆弱性を修正した最新版が公開されている。 Adobe Readerについては、2月5日に最新版「Adobe Reader 8.1.2」が公開された。同バージョンでは、安定性などを向上したことに加えて、セキュリティの脆弱性が1件修正された。しかしながら、脆弱性の詳細については未公表。セキュリティベンダーなどの情報によれば、悪質なプログラム(ウイルスなど)を勝手に実行されるような危険な脆弱性である可能性があるという。 QuickTimeの新版「QuickTime 7.4.1」は2月6日に公開。同バージョ
Apple、Firefox経由で悪用されるQuickTime脆弱性を修正
QuickTimeのゼロデイの脆弱性を修正するQuickTime 7.2のセキュリティアップデートが公開された。 米Appleは10月3日、QuickTime 7.2のセキュリティアップデートを公開し、脆弱性に対処した。この脆弱性は、MozillaのFirefoxブラウザ経由で悪用できてしまう問題が指摘され、エクスプロイトコードも公開されていた。 Appleサイトに掲載された情報によると、脆弱性はQuickTimeがQTLファイルのqtnext領域でURLを処理する方法に存在する。細工を施したQTLファイルをユーザーが開くと、攻撃者がアプリケーションを立ち上げて、任意のコードを実行できてしまう恐れがある。 QuickTimeバージョン7.2.0.245では、URLの処理方法を改善してこの問題に対処した。なお、脆弱性があるのはWindows版のQuickTimeのみで、Mac OS Xは影響
Webブラウザー「Firefox」の新版公開、QuickTimeの脆弱性に対応
米モジラ財団(Mozilla Foundation)は2007年9月18日(米国時間)、Webブラウザー「Firefox」の最新版「Firefox 2.0.0.7」を公開した。新版では、「重要度(Impact)」が「最高(Critical)」のセキュリティ問題が1件修正された。モジラのWebサイトなどからダウンロードできる。 Firefox 2.0.0.7で修正されたのは、以下の1件。 MFSA 2007-28 QuickTimeのメディアリンクファイルを通じたコードの実行 これは、米アップルの音楽/動画再生ソフト「QuickTime」に関連したセキュリティ問題。QuickTimeには、QuickTimeリンクファイル(.qtl)に関する脆弱(ぜいじゃく)性が見つかっている。この脆弱性は、QuickTimeリンクファイルを使えば、任意のオプションを付けて既定のWebブラウザーなどを起動でき
Firefox関与のQuickTime脆弱性、US-CERTなどが危険度「高」と評価
MozillaのFirefoxブラウザ経由でAppleのメディア再生ソフトQuickTimeの脆弱性を悪用するエクスプロイトコードが公開された問題で、米US-CERTや仏FrSIRTが正式なアドバイザリーを公開した。 FrSIRTによると、QuickTimeリンク(.qtl)ファイルの「qtnext」パラメータ処理方法に設計上のエラーが存在する。影響を受けるのはQuickTimeのバージョン7.xで、深刻度は4段階で最大の「Critical」と評価している。 US-CERTによれば、QuickTimeにリンクさせたファイルはWebページに組み込んで、ユーザーがそのページを訪れると自動的に立ち上げるようにすることが可能。リモートの攻撃者がユーザーをだまして細工を施したQuickTimeファイルを開かせることにより、任意のコードを実行できてしまう恐れがある。 現在公開されているコンセプト実証コ
QuickTimeの脆弱性、Firefoxがアップデートで対処
Firefox 2.0.0.7は「Appleがパッチをリリースするまでの間、ユーザーを守るための措置」となる。 Appleのメディア再生ソフトQuickTimeにFirefoxを使って悪用できる脆弱性が見つかった問題で、Mozillaは9月18日、この問題に対処したアップデート版のFirefox 2.0.0.7を公開した。Appleがパッチをリリースするまでの間、ユーザーを守るための措置だと説明している。 QuickTimeの脆弱性は、QuickTimeリンク(.qtl)ファイルの「qtnext」パラメータ処理方法に関する設計上のエラーに起因する。Firefox 2.0.0.6またはそれ以前のバージョンがデフォルトのWebブラウザになっている場合、この問題を悪用してリモートでスクリプトコマンドを実行することが可能になり、マルウェアをインストールされたりデータを盗まれる恐れがある。 実際に、
FirefoxとQuickTime悪用のエクスプロイトが公開
「QuickTimeのメディアフォーマットがFirefoxをハッキングできてしまう」脆弱性があるという。 US-CERTは9月12日、MozillaのFirefoxブラウザとAppleのメディア再生ソフトQuickTimeをインストールしたユーザーを標的として、エクスプロイトコードが公開されたと明らかにした。 このエクスプロイトではリモートの認証を受けないユーザーが、影響を受けるシステム上で任意のコマンドを実行できてしまうという。 Firefoxをめぐっては7月に、Internet Explorer(IE)の関与で生じる深刻な脆弱性が報告されて問題になった。 US-CERTの今回のアラートは、ハッカー組織「GNUCITIZEN」のサイトに12日付で掲載された情報を指すとみられる。同サイトでは「QuickTimeのメディアフォーマットがFirefoxをハッキングできてしまう」脆弱性があると指
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Firefox 2.0.0.7」公開、QuickTimeを通じた攻撃に対処