--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2014.08.02 18:00|カテゴリ:Security

QuickTime入っていない? 深刻な脆弱性見つかったし、ゼロデイだし、とりあえず消そうよ


quicktime.jpg

 AppleのマルチメディアプレイヤーソフトQuickTimeに深刻な脆弱性が発見されました。悪用されると任意のコードを実行されたり、サービス運用妨害 (メモリ破損) 状態にされる可能性があります。

Zero Day Initiative
This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Apple QuickTime. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.



 
 発見したのはヒューレットパッカード社のセキュリティ研究組織「ZDI(Zero Day Initiative:ゼロデイイニシアチブ)」。情報では特にWindows、MacといったOSによる影響区別がないので、おそらく両OS版に影響があります。
 
 ZDIは、脆弱性を発見した場合、ベンダーに報告後パッチ作成に180日間の猶予期間を与え、それが過ぎたら一般に公表するというルールを設けています。上記URLにはその経緯が示されており、2013年12月20日にAppleに開示、180日間のデッドラインである2014年6月18日が過ぎた後、7月23日に一般に公開しています。
 

This vulnerability is being disclosed publicly without a patch in accordance with the ZDI 180 day deadline.

12/20/2013 - Disclosed to vendor
12/20/2013 - acknowledgement from vendor
05/30/2014 - Reminded vendor of 180-day deadline, 06/18/2014
05/30/2014 - Vendor advised update scheduled for 09/2014
07/23/2014 - Public release of advisory

Zero Day Initiative

  
 
 このようにすでにこの脆弱性は公開されていますが、現時点で脆弱性を修正するパッチは提供されていません。Appleによると脆弱性の修正バージョンは9月に提供されるとのことですが、すでに脆弱性が公表されているのでいつ攻撃されてもおかしくない状況です。
 
 Windowsの場合、以前はiTunesをインストールすると一緒にQuickTimeもインストールされていたため、使っていないにも関わらずそのまま入りっぱなしという人も少なくないと思います。これは私個人の場合ですが、「QuickTimeでなければならない」という状況はさほどないように思います。動画再生は他のフリーソフトなどでも代用可能ですから、とりあえずQuickTimeをアンインストールしてはいかがでしょう?

 なお、Windowsではアンインストールできますが、Mac OS Xでは一般的な手順ではアンインストールできません。無理やり消すことはできなくはないですが、一般的な手順でアンインストールできないようにしている理由があると思われるのであまり好ましくないでしょう。

 つまり、Macに関してはアップルが修正バージョンを提供するまでは脆弱な状態です。今のところ、攻撃が行われた形跡が確認されていないので、具体的な対処法もありません。Macをお使いの方は当面はQuickTimeを使用しないように気をつけるしかなさそうです。

 それまで、QuickTimeがインストールされているだけで成功するような攻撃がなければいいのですが……。

関連記事


USB機器が攻撃ツールになる! USBコントローラーをハックし、悪意のあるUSB(BadUSB)に変える : I believe in technology
USBポートに接続される周辺機器を使っている方は多いことでしょう。もし、皆さんがお使いのUSB周辺機器が悪意を持っていたら、皆さんのPCはあっという間にマルウェアに感染してしまうことでしょう。


 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。