ニュース

「QuickTime for Windows」のインストーラーに脆弱性、入手しても実行しないように

サポートはすでに終了しており、修正の見込みはなし

“JVN”の脆弱性レポート(JVN#94771799)

 脆弱性対策情報ポータルサイト“JVN”は13日、Apple製のマルチメディアプレイヤーソフト「QuickTime for Windows」のインストーラーに脆弱性があることを明らかにした。

 “JVN”の脆弱性レポート(JVN#94771799)によると、「QuickTime 7.7.9 for Windows」にはDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを意図せず読み込んでしまう脆弱性脆弱性が存在する。本脆弱性を悪用した攻撃を受けると、最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性がある。脆弱性の深刻度評価は、“CVSS v3”で基本値“7.8(危険)”、“CVSS v2”で基本値“6.8(警告)”。

 「QuickTime for Windows」はAppleによるサポートがすでに打ち切られており、今のところ修正の予定はない。もしインストーラーを入手しても実行しないようにしたい。