※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
2016 年 4 月 15 日、動画再生ソフトウェア「QuickTime for Windows」に、2 件の未解決の脆弱性が JVN に掲載されました。「QuickTime for Windows」がインストールされたパソコンで、細工されたウェブサイトに意図せずアクセスしたり、細工されたファイルを再生することにより、プログラムが異常終了したり、場合によっては攻撃者によってパソコンを制御されるなどの可能性があります。
本脆弱性を悪用した攻撃情報は確認されていませんが、製品開発者による当該製品のサポートは既に終了しており、修正パッチは提供されていません。そのため、当該製品の利用者は速やかにアンインストールを行い、代替製品の使用を検討してください。
図:脆弱性を悪用した攻撃のイメージ
これと併せて、長期休暇明けの基本的な情報セキュリティ対策として、使用中のソフトウェア全般について、修正プログラム、定義ファイルの更新の有無を確認し、適宜アップデートを実施してください。
影響を受けるソフトウェア
- QuickTime for Windows
対策
アンインストール
Apple 社のウェブサイトを参照し、「QuickTime for Windows」をアンインストールしてください。
https://support.apple.com/ja-jp/HT205771
なお、IPA が提供する「MyJVNバージョンチェッカ for .NET」でパソコン内の「QuickTime for Windows」の有無を確認することができます。
図:「MyJVNバージョンチェッカ for .NET」で QuickTime の有無を確認した画面
ただし、「QuickTime for Windows」をアンインストールすることで、映像編集ソフトウェアなど他製品に影響を及ぼす可能性があります。不具合が発生した場合は、その製品開発者に確認してください。
参考情報
- JVN:JVNTA#92371676 QuickTime for Windows に複数のヒープバッファオーバフローの脆弱性
https://jvn.jp/ta/JVNTA92371676/ - Apple 社のサポート終了について(追加情報)
https://support.apple.com/ja-jp/HT201175 - US-CERT:Apple Ends Support for QuickTime for Windows; New Vulnerabilities Announced
https://www.us-cert.gov/ncas/alerts/TA16-105A - Zero Day Initiative:Apple QuickTime moov Atom Heap Corruption Remote Code Execution Vulnerability
http://zerodayinitiative.com/advisories/ZDI-16-241/ - Zero Day Initiative:Apple QuickTime Atom Processing Heap Corruption Remote Code Execution Vulnerability
http://zerodayinitiative.com/advisories/ZDI-16-242/ - トレンドマイクロ社:QuickTime for Windows の脆弱性に要注意
http://blog.trendmicro.co.jp/archives/13224 - トレンドマイクロ社:Urgent Call to Action: Uninstall QuickTime for Windows Today –
http://blog.trendmicro.com/urgent-call-action-uninstall-quicktime-windows-today/
更新履歴
| 2016年5月10日 | 掲載 |
|---|
