-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 各位 JPCERT-AT-2007-0023 JPCERT/CC 2007-11-30(初版) 2007-12-14(更新) <<< JPCERT/CC Alert 2007-11-30 >>> アップル QuickTime の未修正の脆弱性に関する注意喚起 Zero-day vulnerability in Apple QuickTime http://www.jpcert.or.jp/at/2007/at070023.txt I. 概要 アップル QuickTime の RTSP 処理には未修正の脆弱性があります。結果と して、遠隔の第三者がユーザのコンピュータ上で任意のコードを実行する可能 性があります。現在、複数の実証コードがインターネット上で公開されており、 今後それらを使用した攻撃の拡大が予想されます。 インターネット上で公開されている実証コード (脆弱性を使用して攻撃が可 能であることを証明するプログラム) は、Windows に加え、Mac OS 上で動作 する QuickTime にも影響を与えるものがあります。 II. 対象 2007年11月30日現在、以下の製品で本脆弱性の影響を受けることが確認され ています。 影響を受ける製品 Windows または Mac OS で動作する - QuickTime バージョン 4.0 から 7.3 QuickTime は音楽再生管理ソフトウェア iTunes のコンポーネントとしても 使用されており、iTunes を利用しているコンピュータは QuickTime の脆弱性 の影響を受ける可能性があります。また、Mac OS では iTunes がプリインス トールされています。 III. 対策 2007年11月30日現在、アップルよりこの脆弱性に関する公式なアナウンスは ありません。今後、修正プログラムがリリースされるまでは以下に示す回避策 の適用を検討してください。 1. ファイアーウォールで RTSP の通信を遮断する RTSP の通信はデフォルトで TCP/554 を使用します。ファイアーウォー ルなどで通信を制限してください。 2. 不審な QuickTime メディアファイルを開かない 拡張子 qtl, mov などの QuickTime に関連づけられたファイルを開か ないでください。 3. ウイルス対策ソフトの定義ファイルを最新版に更新する 4. Internet Explorer で QuickTime ActiveX コントロールを無効にする 以下のページを参考にして QuickTime ActveX コントロールを無効にし てください。 US-CERT Vulnerability Note VU#659761 http://www.kb.cert.org/vuls/id/659761 5. Firefox など Mozilla ベースのブラウザで QuickTime プラグインを無効にする 以下のページを参考にして QuickTime プラグインを無効にしてくださ い。 mozdev.org - plugindoc: ja-JP/faqs/uninstall http://plugindoc.mozdev.org/ja-JP/faqs/uninstall.html また、業務に QuickTime を使用しない場合、業務で使用するコンピュータ から QuickTime を一時的にアンインストールすることを合わせて検討してく ださい。 注意: JPCERT/CC で確認したところ QuickTime をアンインストールすると iTunes が動作しなくなります。 *** 更新: 2007年12月14日追記 ***************************************** アップルより本脆弱性が修正された製品がリリースされました。 QuickTime をインストールされている方は最新版にバージョンアップする ことをお勧めいたします。 Apple QuickTime for Windows ダウンロードページ http://www.apple.com/jp/quicktime/download/win.html Apple QuickTime for Macintosh ダウンロードページ http://www.apple.com/jp/quicktime/download/mac.html ********************************************************************** IV. 参考情報 Japan Vulnerability Notes JVNVU#659761 Apple QuickTime RTSP の Content-Type ヘッダの処理にスタックバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU%23659761/index.html Apple - QuickTime - Technologies - Streaming http://www.apple.com/quicktime/technologies/streaming/ *** 更新: 2007年12月14日追記 ***************************************** About the security content of QuickTime 7.3.1 http://docs.info.apple.com/article.html?artnum=307176 ********************************************************************** 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2007-11-30 初版 2007-12-14 本脆弱性に関するセキュリティ更新プログラム公開について追記 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iQCVAwUBR2Ip9ox1ay4slNTtAQJ0TAP/TsjSE65hMVUrZuRl5ksehgmxRGr36WgR gFUoLL+3aRhmNmLDqPQblhwH/6KxOSQBA+SXcdl7mF7vxhIyuU0yaZ9K7EYkg25C PotCqgImfp3385DGGN2oQdX8ENkyfZgz8JciwddVWdyqoMAk7JL7VJ1J/3kxZBwv 9lD03ED/bJs= =hSW7 -----END PGP SIGNATURE-----