記事登録
2008年09月11日(木) 14時32分

アップルが20件の修正パッチをリリース——QuicktimeやiPod touchなどの脆弱性に対処Computerworld.jp

 米国Appleは9月10日、「QuickTime」や「iTunes」、「iPod touch」、ネットワーク・ソフトウェア「Bonjour for Windows」など、複数のアプリケーションで合計20件の脆弱性を修正するセキュリティ・アップデートを配布した。脆弱性の半数以上は、PCや iPodが乗っ取られる可能性のある深刻なものである。

【関連画像を含む詳細記事】

 セキュリティ・アップデートは4つのパッチに分かれており、QuickTimeのバグ修正が9件、iPod touch用ソフトウェア関連が7件、iTunesとBonjourはそれぞれ2件の修正が行われた。

 デンマークのセキュリティ・ベンダーSecuniaは、QuickTimeおよびiPod touchの脆弱性を危険度が2番目に高い「highly critical」に分類している。一方、BonjourとiTunesについては、下から2番目の危険度「less critical」にランクしている。

 AppleのQuickTimeには多くの脆弱性が見つかっており、6月にも修正パッチが配布されている。今年だけでもすでに合計30件の脆弱性を修正しており、今回リリースされた「QuickTime 7.5.5」は5回目のアップデートとなる。

 QuickTimeの脆弱性9件のうち、5件は Windows/Mac版共通の問題だが、残り4件はWindows XPおよびVista用QuickTimeのみが対象となる。また、8件は「任意のコード実行(arbitrary code execution)」を許すおそれがあるという。米国Microsoftや米国Oracleのような脆弱性の評価システムをAppleは持たないが、「任意のコード実行」という表現は、脆弱性の危険度が最も深刻な場合に用いられている。

 QuickTime用パッチは、PICT形式の画像やQTVR(QuickTime Virtual Reality)ファイル、QuickTimeの動画、H.264形式またはIndeo形式でエンコードされた動画を処理する際の欠陥を修正する。なお、6月に配布されたパッチは、PICT画像およびIndeo形式の動画処理に関する別の脆弱性に対処するものだった。

 iPod touchやWindows版Bonjour、iTunesで最も深刻な脆弱性は、iPod用オープンソース・フォント「FreeType」およびWeb ブラウザ「Safari」に関するものだ。Appleによると、FreeTypeとSafariには合計4件の脆弱性があり、不正なコードを攻撃者が実行することで、デバイスを危険にさらす可能性があるという。なお、Wi-Fi機能を使ってインターネットにも接続できるiPod touchは、新バージョンが10日に発表されたばかりである。

 さらに、iPod touchおよびBonjourでは、DNSキャッシュ・ポイズニング攻撃を阻止する修正も加えられた。DNS脆弱性は、セキュリティ研究家のダン・カミンスキー(Dan Kaminsky)氏が今年7月初めに公表したことから、俗に「Kaminsky Flaw」と呼ばれている。

 この脆弱性は、インターネット・トラフィックのルーティング・システムを操作し、正常なアドレスを不正なサイトへ導くよう変更してしまうというもので、主にユーザーの個人情報を盗み取る「なりすまし犯罪」に悪用されている。DNSキャッシュ・ポイズニング攻撃が最初に確認されたのは、今年7月後半だった。

 AppleはDNSの脆弱性に部分的に対処するMac OS用パッチを7月31日に配布したが、専門家は、このパッチはサーバOSのMac OS X Serverには有効だが、クライアントOSであるMac OS Xの脆弱性を完全には修正できていないと警告していた。

 MacユーザーはOS付属の「ソフトウェア・アップデート」を通じて、バグ修正済みの最新版ソフトウェア「QuickTime 7.5.5」および「iTunes 8」を入手できる。Windowsユーザーの場合、同2点のソフトウェアおよびBonjourは、AppleのWebサイトからダウンロードするか、オプションの「Windows Update」を利用することで入手可能だ。またiPod touchは、最新のソフトウェア・アップデート「iPhone 2.1」(iPod touch用)を適用することで脆弱性が修正される。

 また、iPod touchおよびiPhoneは同じOSを搭載し、含まれるソフトウェアもほぼ共通であることから、iPhone 2.1を適用すれば、同じくDNSキャッシュ・ポイズニングを含む7件の脆弱性を解決できるという。AppleのCEO、スティーブ・ジョブズ(Steve Jobs)氏は9日、1時間にわたって新しいiPodの発表イベントを行ったが、その際、iPhone 2.1は米国時間12日にリリースすることを明らかにした。

(Gregg Keizer/Computerworld US オンライン版)

【関連記事】
[特集]Appleウォッチ
アップル、iPhoneのセキュリティ修正パッチを9月に配布すると明言
]iPhoneのパスコード・ロック機能にまたもやバグ——最新ソフトウェア・アップデートで発見
米国のユーザーがアップルを提訴——「iPhone 3Gは欠陥品だ」
アップルのDNS脆弱性修正パッチは不完全——セキュリティ専門家が警鐘

http://headlines.yahoo.co.jp/hl?a=20080911-00000005-cwj-secu

最新のニュース記事一覧
お問い合わせ