セキュリティ関係(11/30)
Apple QuickTime の脆弱性関係。
セキュリティ関係memo(11/26)、セキュリティ関係(11/27)にMemoしたQuickTime脆弱性ばなしの続き。
JPCERT/CCとJVNから情報でました。
>アップル QuickTime の未修正の脆弱性に関する注意喚起 (JPCERT/CC, 11/30)
>JVNVU#659761 【緊急】Apple QuickTime RTSP の Content-Type ヘッダの処理にスタックバッファオーバーフローの脆弱性 (JVN, 11/30)
影響を受けるシステム
- QuickTime 4.0 から 7.3
Winodws 版および Mac 版の QuickTime が本脆弱性の影響を受けます。また、iTunes など QuickTime を使用するソフトウェアをインストールしているシステムも本脆弱性の影響を受けます。
パッチはまだない。以下の回避策を適用することで、想定される攻撃によって受ける影響を軽減することはできる。
- rtsp://URL が含まれる通信を制限する。
- Internet Explorer で QuickTime ActiveX コントロールを無効にする
- Mozilla ベースのブラウザで QuickTime プラグインを無効にする
- JavaScript を無効にする