08/09/19 20:31:54 hchg/e660
米国立標準技術研究所(NIST)は18日、QuickTime 7.5.5とiTunes 8.0に脆弱性があることを公表した。
これらのソフトは、Appleが9日、新型iPodの発表にあわせてリリースしたばかりの最新バージョンにあたる。
NISTの脆弱性データベースによると、リモートからブラウザをクラッシュさせられたり、
任意のコードを実行される可能性があるという。
Webページや.mp4/.movファイルに、長いQuickTimeタグを埋め込むことで攻撃可能としている。
この脆弱性についてはすでに攻撃コードが公開されており、
これについて18日付のMcAfee Avert Labsのブログで言及している。
それによると、攻撃コードの作者はリモートヒープオーバーフローだとしているが、
McAfee Avert Labsが分析したところ、実際はoff-by-oneスタックオーバーフローであり、
これによって任意のコードを実行可能であるとは考えにくいという。
しかしながら、ユーザーはこれを軽く考えず、適切な防御手段を考えるべきだとしている。
URLリンク(internet.watch.impress.co.jp)