2016年04月17日

Quicktimeにゼロデイ脆弱性。Windows版は廃止予定で修正は提供されず

怖い話です。Mac版はAV Foundationというバックグラウンドに置き換わっており、Quicktimeはその上で動いているので心配ないみたいですが…。

(窓の杜より)
「QuickTime」に2件のゼロデイ脆弱性。Windows版の修正は提供されず

Appleは削除を推奨。同社製品を利用の場合はインストールされていないかチェックを

トレンドマイクロ(株)のZero Day Initiative(ZDI)は14日(米国時間)、Apple社製メディアプレーヤー「QuickTime」に2件の脆弱性(ZDI-16-241、ZDI-16-242)が存在することを明らかにした。この脆弱性の修正予定はなく、Appleは「QuickTime」のアンインストールを推奨しているという。

 脆弱性の内容は、無効なインデックスを指定することにより、割り当てられたヒープバッファの外にデータを書き込むことができるというもので、細工が施されたファイルを開くだけでリモートから任意のコードを実行されてしまう恐れがある。脆弱性評価システム“CVSS”による深刻度の 評価は、10点満点で“6.8(警告)”。

 昨年11月11日、ZDIはこれらの脆弱性をAppleへ報告したが、今年1月にリリースされたv7.7.9でも脆弱性は修正されなかった。そこでAppleへ再度問い合わせを行ったところ、Windows版「QuickTime」は廃止予定であり、ユーザーに削除方法を案内するとの告知を受けたという。

 「QuickTime」の削除方法は現在のところ製品ページに掲載されていないが、Appleのサポートページで参照することが可能。「QuickTime」は「iTues」などの同社製品をセットアップまたはアップデートする際にインストールを勧められることがあるので、同社製品を利用している場合は「QuickTime」がインストールされていないかもう一度確認した方がよいだろう。

 なお、Appleは以前にもWindows版「Safari」の開発をアナウンスなしに終了している。


これで危惧した最悪の内容が、一度削除してもまたApple Software Updatesで強制的もしくはリストにチェックが入った状態でよく見ないで、先に進むと再インストールされてしまうのではないかということ。またiTunesでQuicktimeがバックグラウンドとして入ってしまうのではないかというのも心配です。

そこで試しました(2016.04.17現在)。

試した環境はWindows8.1。Quicktime7.7.8が入っている状態です。

(1)Apple Software Updates起動→チェックが入った状態でQuicktime7.7.9がリストに登場→インストールせずに同アプリを終了
(2)Quicktime削除
(3)Apple Software Updates起動→チェックが外れた状態でQuicktime7.7.9がリストに登場→インストールせずに同アプリを終了
(4)iTunes上書きインストール→特に途中Quicktimeインストールを要求される場面はなかったような。自動アップデートのチェックは外しておきました→インストールプロセスでもQuicktimeインストールのメッセージはなし
(5)iTunes起動→ヘルプからiTunesの更新→「お使いのiTunesは最新のバージョンです」。Quicktimeのインストールは表示されず→iTunes終了
(6)プログラムと機能で、Quicktimeがインストールソフトの項目にないことを確認
(7)Apple Software Updates起動→チェックが外れた状態でQuicktime7.7.9がリストに登場→インストールせずに同アプリを終了

このようにApple Software Updatesには、まだWindows版Quicktime7.7.9のリストが出てきました。ただしアンインストールするとチェックが外れてます。

AppleはQuicktimeのサポート終了を認めたようなものですから、Apple Software Updatesのリストにも出ないようにしてほしいものです
posted by カミガタ at 20:55 | TrackBack(1) | ソフトウェア | このブログの読者になる | 更新情報をチェックする

この記事へのトラックバック

QuicktimeのWindows版脆弱性解消のアップデータ提供されず。サポート終了か?
Excerpt: Windows版のQuicktimeは最新版でもWindows8以降に非対応で、Windows7/Vistaでしかサポートしてない上に、2016.03.17に更新された「QuickTime for W..
Weblog: コンピュータの話題をBlogで
Tracked: 2016-04-17 21:15

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。