Apple、QuickTimeとiPhone/iPod Touchの脆弱性を修正
ソフトウェア・アップデートに修正パッチを盛り込む米国Appleは1月16日、「QuickTime」で発見された4つのセキュリティ・ホールと、「iPhone」および「iPod Touch」の両方に含まれる3件の不具合を修正するソフトウェア・アップデートを公開した。
Appleは、QuickTimeのセキュリティ・ホールについて、「いずれも恣意的なコードが実行される危険性がある」と警告している。これは攻撃者が悪意のあるプログラムを組み込んだり、システムを乗っ取ったりすることができるということを意味している。Appleはセキュリティ・ホールのランク付けを行っていないが、Microsoftなどは通常、このようなバグの深刻度を「Critical:緊急」に分類している。
しかしこれらのパッチは、どれもイタリアの研究者ルイジ・アウリエンマ(Luigi Auriemma)氏が先週公表した脆弱性を修正するものではない。同氏は1月10日にも、QuickTimeのRTSP(Real-Time Streaming Protocol)処理に含まれる他の脆弱性に対応する概念実証型エクスプロイトを公開している。
この点について、米国nCricleのセキュリティ業務担当ディレクター、アンドリュー・ストームズ(Andrew Storms)氏は、「最も重要なのは、今回のリリースでRTSPの脆弱性が修正されなかったという点だ。ゼロデイ攻撃用のコードは今もインターネット上で入手可能となっており、技能レベルが低くい攻撃者でも使うことができる。特に、Macをネットワークに接続しているコンシューマーや企業のユーザーは十分注意する必要がある」とコメントしている。
QuiciTimeの最新版「QuiciTime 7.4」に添付されている注意書きによると、今回Appleがリリースしたパッチは、Sorenson 3ビデオ・ファイル、動画ファイルのリソース記録、Image Descriptor Atom、圧縮されたPICT画像ファイルをQuickTimeが処理する部分の各脆弱性に対処するものだという。
Storms氏によると、上記4つのセキュリティ・ホールはいずれもQuickTimeのファイル構文解析ツールに含まれる不具合であり、同様のものは過去に何度も見つかっているという。同氏は、「最近はネットワーク・スタイルの攻撃が減少し、マルチメディアの提供手段を利用して悪意のあるプログラムを送り込むというクライアント・サイドの攻撃が増加する傾向にある。このようなタイプの脆弱性は今後も問題になるだろう」と語っている。
今回のQuickTime用のソフトウェア・アップデートは、昨年12月13日に複数の脆弱性が修正されて以来のものとなる。AppleはQuickTimeの不具合に対して2007年の1年間で30を超えるパッチを当てている。
一方、iPhoneでも今年最初のソフトウェア・アップデートが行われた。今回リリースされたバージョン「1.1.3」のファームウェアには、iPhoneに搭載されている「Safari」ブラウザの省機能版で発見された問題や、暗号を入力しないとアプリケーションが稼働しないように設定できる「Passcode Lock」機能の問題に対処する3種類のパッチが含まれている。
iPhoneのセキュリティに関する注意書きによると、3件のバグのうち、恣意的なコードが実行される危険性があるものは1件で、残りの2件はロックされているアプリケーションへの不正アクセスや、Webベースのクロスサイト・スクリプティング攻撃(フィッシングで多用される攻撃方法)による個人情報漏洩などにつながる危険性があるという。なお、これらのバグを修正した最新のファームウェアはiTunes経由で配布され、iPhoneだけでなくスマートフォン型メディア再生デバイスのiPod Touchにも適用される。
(Gregg Keizer / Computerworld オンライン米国版)
