アップルが20件の修正パッチをリリース――QuickTimeやiPod touchなどの脆弱性に対処
QuickTimeは今年に入って5回目のアップデート米国Appleは9月10日、「QuickTime」や「iTunes」、「iPod touch」、ネットワーク・ソフトウェア「Bonjour for Windows」など、複数のアプリケーションで合計20件の脆弱性を修正するセキュリティ・アップデートを配布した。脆弱性の半数以上は、PCやiPodが乗っ取られる可能性のある深刻なものである。
セキュリティ・アップデートは4つのパッチに分かれており、QuickTimeのバグ修正が9件、iPod touch用ソフトウェア関連が7件、iTunesとBonjourはそれぞれ2件の修正が行われた。
デンマークのセキュリティ・ベンダーSecuniaは、QuickTimeおよびiPod touchの脆弱性を危険度が2番目に高い「highly critical」に分類している。一方、BonjourとiTunesについては、下から2番目の危険度「less critical」にランクしている。
AppleのQuickTimeには多くの脆弱性が見つかっており、6月にも修正パッチが配布されている。今年だけでもすでに合計30件の脆弱性を修正しており、今回リリースされた「QuickTime 7.5.5」は5回目のアップデートとなる。
QuickTimeの脆弱性9件のうち、5件はWindows/Mac版共通の問題だが、残り4件はWindows XPおよびVista用QuickTimeのみが対象となる。また、8件は「任意のコード実行(arbitrary code execution)」を許すおそれがあるという。米国Microsoftや米国Oracleのような脆弱性の評価システムをAppleは持たないが、「任意のコード実行」という表現は、脆弱性の危険度が最も深刻な場合に用いられている。
QuickTime用パッチは、PICT形式の画像やQTVR(QuickTime Virtual Reality)ファイル、QuickTimeの動画、H.264形式またはIndeo形式でエンコードされた動画を処理する際の欠陥を修正する。なお、6月に配布されたパッチは、PICT画像およびIndeo形式の動画処理に関する別の脆弱性に対処するものだった。
これら大多数の脆弱性情報は、米国3ComのTipping Point部門、米国VeriSignのセキュリティ情報サービス「iDefense」などの報奨金プログラムを通じて、Appleに提供された。
iPod touchやWindows版Bonjour、iTunesで最も深刻な脆弱性は、iPod用オープンソース・フォント「FreeType」およびWebブラウザ「Safari」に関するものだ。Appleによると、FreeTypeとSafariには合計4件の脆弱性があり、不正なコードを攻撃者が実行することで、デバイスを危険にさらす可能性があるという。なお、Wi-Fi機能を使ってインターネットにも接続できるiPod touchは、新バージョンが10日に発表されたばかりである。
さらに、iPod touchおよびBonjourでは、DNSキャッシュ・ポイズニング攻撃を阻止する修正も加えられた。DNS脆弱性は、セキュリティ研究家のダン・カミンスキー(Dan Kaminsky)氏が今年7月初めに公表したことから、俗に「Kaminsky Flaw」と呼ばれている(関連記事)。
この脆弱性は、インターネット・トラフィックのルーティング・システムを操作し、正常なアドレスを不正なサイトへ導くよう変更してしまうというもので、主にユーザーの個人情報を盗み取る「なりすまし犯罪」に悪用されている。DNSキャッシュ・ポイズニング攻撃が最初に確認されたのは、今年7月後半だった。
AppleはDNSの脆弱性に部分的に対処するMac OS用パッチを7月31日に配布したが、専門家は、このパッチはサーバOSのMac OS X Serverには有効だが、クライアントOSであるMac OS Xの脆弱性を完全には修正できていないと警告していた(関連記事)。
MacユーザーはOS付属の「ソフトウェア・アップデート」を通じて、バグ修正済みの最新版ソフトウェア「QuickTime 7.5.5」および「iTunes 8」を入手できる。Windowsユーザーの場合、同2点のソフトウェアおよびBonjourは、AppleのWebサイトからダウンロードするか、オプションの「Windows Update」を利用することで入手可能だ。またiPod touchは、最新のソフトウェア・アップデート「iPhone 2.1」(iPod touch用)を適用することで脆弱性が修正される。
また、iPod touchおよびiPhoneは同じOSを搭載し、含まれるソフトウェアもほぼ共通であることから、iPhone 2.1を適用すれば、同じくDNSキャッシュ・ポイズニングを含む7件の脆弱性を解決できるという。AppleのCEO、スティーブ・ジョブズ(Steve Jobs)氏は9日、1時間にわたって新しいiPodの発表イベントを行ったが、その際、iPhone 2.1は米国時間12日にリリースすることを明らかにした。
なお、iPod touch用iPhone 2.1の新規購入価格は9ドル95セント(日本での価格は1,200円)だが、旧バージョン「iPhone 2.0」を購入済みのユーザーは、2.1に無料アップデートが可能だ。
(Gregg Keizer/Computerworld US オンライン版)
