1.概要Apple Quicktime には、不正な PICT ファイルを処理した場合に、バッファオーバーフローを引き起こしてしまう脆弱性が報告されました。リモートの第三者に悪用された場合、システム上で不正な操作が実行される可能性があります。この脆弱性は、Matt "j00ru" Jurczyk 氏が 2011/4/11 に発見し、Apple が2011/8/8 に セキュリティアドバイザリと共に解消バージョンを公開した問題になります。脆弱性を悪用された場合の影響度が高いため、対象のユーザは可能な限り以下の対策を実施することを推奨します。2.深刻度(CVSS)9.3http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-0257&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%293.影響を受けるソフトウェアApple QuickTime 7.6.9 以前4.解説Apple Quicktime には、QuickDraw Picture (PICT) ファイル内の PnSize オペコード ($0007) を取り扱う際に、整数符号エラーが発生する不備が存在するため、当該オペコードの引数に不正な値を指定した PICT ファイルを処理した場合に、バッファオーバーフローが発生する脆弱性が存在します。この脆弱性を利用することでリモートの攻撃者は、Quicktime を実行するユーザの権限で任意のコード実行が可能となります。なお、QuickTime は、iTunes のコンポーネントとしてもインストールされるため iTunes を利用するユーザもこの脆弱性に対応する必要があります。5.対策(Web非公開)6.ソースコード(Web非公開)(執筆:株式会社ラック コンピュータセキュリティ研究所)※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。Scan Tech Reporthttp://scan.netsecurity.ne.jp/archives/51916302.html
