各位
アップル QuickTime の未修正の脆弱性に関する注意喚起
Zero-day vulnerability in Apple QuickTime
http://www.jpcert.or.jp/at/2007/at070023.txt
I. 概要
アップル QuickTime の RTSP 処理には未修正の脆弱性があります。結果として、遠隔の第三者がユーザのコンピュータ上で任意のコードを実行する可能性があります。現在、複数の実証コードがインターネット上で公開されており、今後それらを使用した攻撃の拡大が予想されます。
インターネット上で公開されている実証コード (脆弱性を使用して攻撃が可能であることを証明するプログラム) は、Windows に加え、Mac OS 上で動作する QuickTime にも影響を与えるものがあります。
II. 対象
2007年11月30日現在、以下の製品で本脆弱性の影響を受けることが確認されています。
影響を受ける製品
Windows または Mac OS で動作する
- QuickTime バージョン 4.0 から 7.3
QuickTime は音楽再生管理ソフトウェア iTunes のコンポーネントとしても使用されており、iTunes を利用しているコンピュータは QuickTime の脆弱性の影響を受ける可能性があります。また、Mac OS では iTunes がプリインストールされています。
III. 対策
2007年11月30日現在、アップルよりこの脆弱性に関する公式なアナウンスはありません。今後、修正プログラムがリリースされるまでは以下に示す回避策の適用を検討してください。
1. ファイアーウォールで RTSP の通信を遮断する
RTSP の通信はデフォルトで TCP/554 を使用します。ファイアーウォー
ルなどで通信を制限してください。
2. 不審な QuickTime メディアファイルを開かない
拡張子 qtl, mov などの QuickTime に関連づけられたファイルを開か
ないでください。
3. ウイルス対策ソフトの定義ファイルを最新版に更新する
4. Internet Explorer で QuickTime ActiveX コントロールを無効にする
以下のページを参考にして QuickTime ActveX コントロールを無効にし
てください。
US-CERT Vulnerability Note VU#659761
http://www.kb.cert.org/vuls/id/659761
5. Firefox など Mozilla ベースのブラウザで QuickTime プラグインを無効にする
以下のページを参考にして QuickTime プラグインを無効にしてくださ
い。
mozdev.org - plugindoc: ja-JP/faqs/uninstall
http://plugindoc.mozdev.org/ja-JP/faqs/uninstall.html
また、業務に QuickTime を使用しない場合、業務で使用するコンピュータから QuickTime を一時的にアンインストールすることを合わせて検討してください。
注意: JPCERT/CC で確認したところ QuickTime をアンインストールすると
iTunes が動作しなくなります。
*** 更新: 2007年12月14日追記 ****************
アップルより本脆弱性が修正された製品がリリースされました。
QuickTime をインストールされている方は最新版にバージョンアップする
ことをお勧めいたします。
Apple QuickTime for Windows ダウンロードページ
http://www.apple.com/jp/quicktime/download/win.html
Apple QuickTime for Macintosh ダウンロードページ
http://www.apple.com/jp/quicktime/download/mac.html
**************************************************
IV. 参考情報
Japan Vulnerability Notes JVNVU#659761
Apple QuickTime RTSP の Content-Type ヘッダの処理にスタックバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23659761/index.html
Apple - QuickTime - Technologies - Streaming
http://www.apple.com/quicktime/technologies/streaming/
*** 更新: 2007年12月14日追記 ****************
About the security content of QuickTime 7.3.1
http://docs.info.apple.com/article.html?artnum=307176
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2007-11-30 初版
2007-12-14 本脆弱性に関するセキュリティ更新プログラム公開について追記
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2007-0023
JPCERT/CC
2007-11-30(初版)
2007-12-14(更新)
JPCERT/CC Alert 2007-11-30
アップル QuickTime の未修正の脆弱性に関する注意喚起
Zero-day vulnerability in Apple QuickTime
http://www.jpcert.or.jp/at/2007/at070023.txt
I. 概要
アップル QuickTime の RTSP 処理には未修正の脆弱性があります。結果として、遠隔の第三者がユーザのコンピュータ上で任意のコードを実行する可能性があります。現在、複数の実証コードがインターネット上で公開されており、今後それらを使用した攻撃の拡大が予想されます。
インターネット上で公開されている実証コード (脆弱性を使用して攻撃が可能であることを証明するプログラム) は、Windows に加え、Mac OS 上で動作する QuickTime にも影響を与えるものがあります。
II. 対象
2007年11月30日現在、以下の製品で本脆弱性の影響を受けることが確認されています。
影響を受ける製品
Windows または Mac OS で動作する
- QuickTime バージョン 4.0 から 7.3
QuickTime は音楽再生管理ソフトウェア iTunes のコンポーネントとしても使用されており、iTunes を利用しているコンピュータは QuickTime の脆弱性の影響を受ける可能性があります。また、Mac OS では iTunes がプリインストールされています。
III. 対策
2007年11月30日現在、アップルよりこの脆弱性に関する公式なアナウンスはありません。今後、修正プログラムがリリースされるまでは以下に示す回避策の適用を検討してください。
1. ファイアーウォールで RTSP の通信を遮断する
RTSP の通信はデフォルトで TCP/554 を使用します。ファイアーウォー
ルなどで通信を制限してください。
2. 不審な QuickTime メディアファイルを開かない
拡張子 qtl, mov などの QuickTime に関連づけられたファイルを開か
ないでください。
3. ウイルス対策ソフトの定義ファイルを最新版に更新する
4. Internet Explorer で QuickTime ActiveX コントロールを無効にする
以下のページを参考にして QuickTime ActveX コントロールを無効にし
てください。
US-CERT Vulnerability Note VU#659761
http://www.kb.cert.org/vuls/id/659761
5. Firefox など Mozilla ベースのブラウザで QuickTime プラグインを無効にする
以下のページを参考にして QuickTime プラグインを無効にしてくださ
い。
mozdev.org - plugindoc: ja-JP/faqs/uninstall
http://plugindoc.mozdev.org/ja-JP/faqs/uninstall.html
また、業務に QuickTime を使用しない場合、業務で使用するコンピュータから QuickTime を一時的にアンインストールすることを合わせて検討してください。
注意: JPCERT/CC で確認したところ QuickTime をアンインストールすると
iTunes が動作しなくなります。
*** 更新: 2007年12月14日追記 ****************
アップルより本脆弱性が修正された製品がリリースされました。
QuickTime をインストールされている方は最新版にバージョンアップする
ことをお勧めいたします。
Apple QuickTime for Windows ダウンロードページ
http://www.apple.com/jp/quicktime/download/win.html
Apple QuickTime for Macintosh ダウンロードページ
http://www.apple.com/jp/quicktime/download/mac.html
**************************************************
IV. 参考情報
Japan Vulnerability Notes JVNVU#659761
Apple QuickTime RTSP の Content-Type ヘッダの処理にスタックバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23659761/index.html
Apple - QuickTime - Technologies - Streaming
http://www.apple.com/quicktime/technologies/streaming/
*** 更新: 2007年12月14日追記 ****************
About the security content of QuickTime 7.3.1
http://docs.info.apple.com/article.html?artnum=307176
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2007-11-30 初版
2007-12-14 本脆弱性に関するセキュリティ更新プログラム公開について追記
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/