ニュース

「QuickTime」に2件のゼロデイ脆弱性。Windows版の修正は提供されず

Appleは削除を推奨。同社製品を利用の場合はインストールされていないかチェックを

 トレンドマイクロ(株)のZero Day Initiative(ZDI)は14日(米国時間)、Apple社製メディアプレーヤー「QuickTime」に2件の脆弱性(ZDI-16-241ZDI-16-242)が存在することを明らかにした。この脆弱性の修正予定はなく、Appleは「QuickTime」のアンインストールを推奨しているという。

 脆弱性の内容は、無効なインデックスを指定することにより、割り当てられたヒープバッファの外にデータを書き込むことができるというもので、細工が施されたファイルを開くだけでリモートから任意のコードを実行されてしまう恐れがある。脆弱性評価システム“CVSS”による深刻度の 評価は、10点満点で“6.8(警告)”。

 昨年11月11日、ZDIはこれらの脆弱性をAppleへ報告したが、今年1月にリリースされたv7.7.9でも脆弱性は修正されなかった。そこでAppleへ再度問い合わせを行ったところ、Windows版「QuickTime」は廃止予定であり、ユーザーに削除方法を案内するとの告知を受けたという。

 「QuickTime」の削除方法は現在のところ製品ページに掲載されていないが、Appleのサポートページで参照することが可能。「QuickTime」は「iTues」などの同社製品をセットアップまたはアップデートする際にインストールを勧められることがあるので、同社製品を利用している場合は「QuickTime」がインストールされていないかもう一度確認した方がよいだろう。

 なお、Appleは以前にもWindows版「Safari」の開発をアナウンスなしに終了している

(樽井 秀人)