2006年03月14日(火) 13時48分

Apple の『QuickTime』と『iTunes』に、未対応の新たな脆弱性（japan.internet.com）

AppleComputer の『QuickTime』および『iTunes』について、新たな脆弱性の存在が明らかになっている。今のところ具体的な攻撃事例は発生していない模様だが、Apple の対応が遅れれば、その分攻撃が発生する可能性も高くなる。

セキュリティ会社 eEyeDigitalSecurity によると、QuickTime と iTunes の現行版に関係する脆弱性が2件存在し、攻撃者に任意コード実行を許す恐れがあるという。2件の脆弱性はそれぞれ、 整数値オーバーフロー の問題と、 ヒープ領域のオーバーフロー 問題だ。eEye は両脆弱性について、Apple に報告し対応を待っている段階のため、詳細な情報は伏せている。

現在のところ Apple は、該当の脆弱性に対する修正パッチを公開していない。同脆弱性は、Apple が1月に公開した セキュリティ更新 を適用している場合も含め、『Windows』および『Mac OS X』両プラットフォームにおいて、QuickTime と iTunes の現行版に影響するという。

eEye のセキュリティ製品マネージャ Steve Manzuik 氏は問題の脆弱性について、遠隔コード実行が可能なため、危険度が高いと指摘した。しかし今のところ、これら脆弱性の影響はかなり限定的だと、同氏は述べる。

Manzuik 氏は、取材に対し次のように語った。「これらの脆弱性はわが社の技術者が研究室調査で発見したもので、現時点では、これら脆弱性を突く攻撃が広まっているという証拠は一切ない」

未対応の脆弱性について Apple に問い合わせたが、広報担当者からコメントは得られなかった。なお Manzuik 氏によると、eEye は問題の脆弱性の情報を、2度に渡り Apple に通知したという。

「最初に通知した際には、(Apple から) 何の返答もなかった。そこで2日間待ち、われわれは改めて通知した。そして2度目は、現在問題を調査中との返答があった」と Manzuik 氏は話す。

同氏は「返答のあった2度目の通知を行なったのは3月7日のことだ。以来 Apple からは何の連絡もない。こと脆弱性対応について、ほとんどの場合 Apple はきわめて無口だ」と述べ、Apple に限らず、ソフトウェア ベンダーは外部協力者との連携姿勢について、改善するべきと苦言を呈している。

「(Apple の) 今回の例を考えると、 Microsoft と比べてしまう。つまり、他社も見るべき実際的なモデルとして、当社をはじめとするセキュリティ研究者から上がる報告に対し、Microsoft がいかに応対しているかという点に意識が向く」と Manzuik 氏は述べた。

「Microsoft のモデルにも、まだ改良の余地がある。しかし彼らの対話姿勢は、われわれが協力したことのある他のいかなるベンダーより優れている」



■関連記事
Amazon.com、動画ダウンロードサービスに参入か
Apple の新たなコンテンツ販売形態は、期間契約型か否か
Coverity、オープンソースソフトウェアの欠陥数調査報告を発表
シマンテック、日本版 SOX 法の導入支援サービスを提供開始
日本ブログ協会の登録フォームに脆弱性、個人情報が外部からアクセス可能な状態に

デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/

デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html

http://headlines.yahoo.co.jp/hl?a=20060314-00000014-inet-sci