［世界］
1年以上も未修正のQuickTime脆弱性、アップルがようやくパッチを公開

コマンド・インジェクション問題を解決

（2007年10月05日）

　米国アップルは10月3日、「QuickTime 7.2 for Windows」用のセキュリティ・パッチを公開した。1年以上も前に見つかっていたにもかかわらず、その後見過ごされていたQuickTimeの脆弱性が、これでようやく修正されたことになる。

　今回のセキュリティ・パッチは、英国の研究者ペトコ・ペトコフ氏が昨年9月に報告した脆弱性を修正するもので、Windows XPおよびVista対応のQuickTimeが対象。同パッチはアップルのWebサイトから入手できるほか、Software Updateを使ってダウンロードすることも可能だ。パッチのサイズはおよそ7MBで、インストールの際はWindowsを再起動する必要がある。

　ペトコフ氏は今年9月12日、同氏のバグ報告をアップルが放置しているとして、この脆弱性に対応する概念実証コードをポストした。するとその後、同脆弱性をFirefox経由で悪用してPCをハイジャックするサンプル・プログラムなどがWeb上で複数公開された。

　それから6日後の9月18日、モジラ・ファウンデーションはFirefox 2.0.0.7をリリース、このQuickTime絡みの不具合に対応した。モジラのセキュリティ責任者ウィンドウ・スナイダー氏は、同様の問題に対応する修正プログラムを今年7月に開発した際に同バグを見逃していたことを認めたうえで、アップルを次のように批判した。

　「QuickTimeのこの問題は、CVE（Common Vulnerabilities and Exposures）-2006-4965に記載されているもののように思えるが、アップルがリリースしたQuickTime 7.1.5の修正プログラムは、このバージョンの問題を解決できていない」

　こうした批判に対してアップルは、モジラが問題としている脆弱性はCVE 2007-4673で指摘されているのとは異なるとの認識を示して反論しているが、脆弱性の存在自体は認めている。

　アップルのWebサイトには次のように書かれている。「QTLファイルの『qtnext』フィールドにあるURL処理機能にコマンド・インジェクションの問題がある。これを悪用し、ユーザーを誘導して特別なQTLファイルをオープンさせれば、自分が制御するコマンドライン引数を使ってアプリケーションを起動させ、任意のコードをリモートで実行することができる」

　アップルによると、この脆弱性はMac OS X対応のQuickTimeには存在しないという。

　今年に入りアップルは、セキュリティ・アップデート版となるQuickTime 7.1.5を3月にリリースしたが、これは、ペトコフ氏の指摘に基づくエクスプロイトをアヴィ・ラフ氏が作成してから2カ月後のことだった。このエクスプロイトは、「Month of Apple Bugs（アップル・バグ月間）」プロジェクトの一環として作成された。

(グレッグ・カイザー／Computerworld オンライン米国版)