(窓の杜より)
「QuickTime」に2件のゼロデイ脆弱性。Windows版の修正は提供されず
Appleは削除を推奨。同社製品を利用の場合はインストールされていないかチェックを
トレンドマイクロ(株)のZero Day Initiative(ZDI)は14日(米国時間)、Apple社製メディアプレーヤー「QuickTime」に2件の脆弱性(ZDI-16-241、ZDI-16-242)が存在することを明らかにした。この脆弱性の修正予定はなく、Appleは「QuickTime」のアンインストールを推奨しているという。
脆弱性の内容は、無効なインデックスを指定することにより、割り当てられたヒープバッファの外にデータを書き込むことができるというもので、細工が施されたファイルを開くだけでリモートから任意のコードを実行されてしまう恐れがある。脆弱性評価システム“CVSS”による深刻度の 評価は、10点満点で“6.8(警告)”。
昨年11月11日、ZDIはこれらの脆弱性をAppleへ報告したが、今年1月にリリースされたv7.7.9でも脆弱性は修正されなかった。そこでAppleへ再度問い合わせを行ったところ、Windows版「QuickTime」は廃止予定であり、ユーザーに削除方法を案内するとの告知を受けたという。
「QuickTime」の削除方法は現在のところ製品ページに掲載されていないが、Appleのサポートページで参照することが可能。「QuickTime」は「iTues」などの同社製品をセットアップまたはアップデートする際にインストールを勧められることがあるので、同社製品を利用している場合は「QuickTime」がインストールされていないかもう一度確認した方がよいだろう。
なお、Appleは以前にもWindows版「Safari」の開発をアナウンスなしに終了している。
これで危惧した最悪の内容が、一度削除してもまたApple Software Updatesで強制的もしくはリストにチェックが入った状態でよく見ないで、先に進むと再インストールされてしまうのではないかということ。またiTunesでQuicktimeがバックグラウンドとして入ってしまうのではないかというのも心配です。
そこで試しました(2016.04.17現在)。
試した環境はWindows8.1。Quicktime7.7.8が入っている状態です。
(1)Apple Software Updates起動→チェックが入った状態でQuicktime7.7.9がリストに登場→インストールせずに同アプリを終了
(2)Quicktime削除
(3)Apple Software Updates起動→チェックが外れた状態でQuicktime7.7.9がリストに登場→インストールせずに同アプリを終了
(4)iTunes上書きインストール→特に途中Quicktimeインストールを要求される場面はなかったような。自動アップデートのチェックは外しておきました→インストールプロセスでもQuicktimeインストールのメッセージはなし
(5)iTunes起動→ヘルプからiTunesの更新→「お使いのiTunesは最新のバージョンです」。Quicktimeのインストールは表示されず→iTunes終了
(6)プログラムと機能で、Quicktimeがインストールソフトの項目にないことを確認
(7)Apple Software Updates起動→チェックが外れた状態でQuicktime7.7.9がリストに登場→インストールせずに同アプリを終了
このようにApple Software Updatesには、まだWindows版Quicktime7.7.9のリストが出てきました。ただしアンインストールするとチェックが外れてます。
AppleはQuicktimeのサポート終了を認めたようなものですから、Apple Software Updatesのリストにも出ないようにしてほしいものです