パスワードを忘れた? アカウント作成
5406 story

Windows版QuickTime 6以前に脆弱性 29

ストーリー by yourCat
ついでにOS_X版もアップデート 部門より

Katuragi 曰く、 "Mac OS X用QuickTime 6.1.1がリリースされた。ソフトウェアアップデートによると、主な変更点は「QuickTime 6.1.1 により、MPEG-4 ストリーミングでの不具合の修正が行われます。」現時点でこれ以上のリリース情報はない。"

[Update 2003年4月2日 00:30 JST] Windows版QuickTime Playerに脆弱性があり、これを塞いだバージョン6.1がリリースされた。ダウンロード・ページまたはソフトウェア・アップデート経由で入手できる。各種OS別の最新バージョン一覧も参考にしよう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 3GPP対応は? (スコア:5, 興味深い)

    by yoz (6065) on 2003年04月02日 0時29分 (#291290)
    以前「FOMAの3GPPには次のバージョンで対応」という話がありましたけど、
    6.1.1で対応したんでしょうか?

    6.1.1のQuickTime Playerのパッケージを覗いてみたら、3GPPタイプのサポートの記述と
    それ用のアイコンがあったんですが、実はそれは6.1にもあったという罠。
  • Windows版QuickTime Player 5.xおよび6.0にはセキュリティーホールがあったので、6.1へバージョンアップしてね、というメールがAppleのsecurity-announce ML [apple.com]で流れておりました。Mac OS / Mac OS X版にはこの脆弱性はないとのこと。

    • by yanmiles (3693) on 2003年04月02日 6時02分 (#291400)

      先程、Mac OS X 版の QuickTime Player 6.0 で「既存のソフトウェアをアップデート...」したら、リストに 6.1.1 が出てきました。

      説明には、MPEG-4 ストリーミングでの不具合修正と出ているので、Mac OS X 版にも(脆弱性が)存在しているのではないでしょうか?
      ;; 単に、Version 合わせだったり…(^^;

      親コメント
    • by raychang (5662) on 2003年04月01日 23時01分 (#291227)
      でも、QuickTime Version Availability [apple.com]によると、
      日本語版はいまだ6.0.2ってのが何とも。
      親コメント
    • 事の重要性を鑑み、記事内容を大幅に変更するとともにサルベージしました。有益な情報に感謝します。
      親コメント
    • >Windows 98/NT/Me/2000/XPオペレーティングシステム
      http://www.apple.co.jp/quicktime/download/system_req.html [apple.co.jp]
      windows95の人はどうすれば良いのだろう?

      http://til.info.apple.co.jp/cgi-bin/WebObjects/TechInfo.woa/wa/showTIL... [apple.co.jp]
      でもチェックすれば良いのだろうか?
      親コメント
      • by Anonymous Coward
        それ私も気になります…
        Win95の人は QuickTime5 を使い続けるしかないんでしょうけど、その ページ
        見ても更新された気配はないですねぇ。。。

        ちなみに、アップルコンピュータ [apple.co.jp]のサイトにはまだ何も記述がないようです
        • by Anonymous Coward
          だからWin95はもうyour own riskで使うのがスジなんだってば。
          • 法人著作物は公表後50年経たなければ公共へ提供されない。「その理由は何」と考えるとね。
            また、OSのサポートとアプリのサポートって別だよね。

            ちなみに、先日RealPlayer Basicのパッチ当てたけど、スジからずれていたのだろうか?
            (ゲーム用ライブラリーみたいのは95では動かないみたいね。OSR2以降って書いてあったから。しかし、セキュリティーホールのパッチは出たよ)

            俺は「5用のパッチは出ない」とは思っていないが。

            無償提供されているソフトの開発を打ち切るのはソフトメーカーの自由。しかし、サポートについてどう考えているかは評価される。

            「2002 年 6 月 26 日 Windows Media Player 用の累積的な修正プログラム (320920) (MS02-032)」の時は6.4もサポートしたね。
            http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan... [microsoft.com]
            http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan... [microsoft.com]

            セキュリティーホールのあるソフト配っておきながら、穴に気づいても対応しないのがアップルの方針とは思えないが。

            5から6へ移行した時に、ライブラリー全部書き直したの?
            6を修正した後、その部分を5に埋め込むのって難しいとは思えないけど....
            簡単だったらパッチ出すだろ。
            親コメント
            • by Anonymous Coward
              パッチが出る出ないではなく、95使ってるヤツ自身が、your own riskの精神で使っていればいちいち騒がないはずでは?
              • 「your own risk」って某翻訳サイトでは「自分の危険」と訳されたが、「自分の危険の精神」って何?
                「いちいち騒がないはず」ってのもいまいち分かりません。

                パッチを自分で作れって事?
                騒いだ覚えも無いんだけど。

                俺はたれ込み文のリンク見れないし、アップルのサイトでは告知していないみたい。

                >▽ QuickTime Player
                > QuickTime Player は細工された QuickTime URL を適切にチェックしていないため、バッファオーバーフローの問題が存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから任意のコードを実行される可能性がある。
                >
                https://www.netsecurity.ne.jp/article/6/9400.html

                で、「バッファオーバーフローの問題が存在する」と分かったんで、早くパッチでないかな?と思っているだけですが。
                親コメント
              • by j3259 (7093) on 2003年04月03日 5時01分 (#291897) ホームページ 日記
                "your own risk" ではなく、"at your own risk" もしくは
                "caveat emptor" つまり、使用者の自己責任でって言いたかったのでしょう、AC氏。
                親コメント
              • by Anonymous Coward
                > 「いちいち騒がないはず」ってのもいまいち分かりません。

                要はぜんぜんわかってないってことだわね。
                「your own risk」ってのは(分かってて言ってんだとはおもうけど)
                「自己責任」ってことだろ。
                けして特別ではなく割とよく使われる表現だと思うが。
                今現在WIN95を
              • 「出されないのはおかしい」と誰かが言ったのでしょうか?
                誰も言っていないような気がしますが。

                それと自己責任ですが、それってXPとかには「自己責任は無い」と言う意味?

                >無償提供されているソフトの開発を打ち切るのはソフトメーカーの自由。しかし、サポートについてどう考えているかは評価される。
                と、私は述べてます。「出されないのはおかしい」ではなく「打ち切るのはソフトメーカーの自由」と言っているのですが....

                ちなみに、私は「対応した6.1が出たよ」と言う話は聞いているが、「5用のパッチは出さない」って話は聞いていません。
                親コメント
              • by chanbaba (13080) on 2003年04月03日 10時58分 (#291991) ホームページ
                大体そんな事を言いたかったのだと思ってますよ。
                でも、セキュリティーホールの存在を知っていながら、告知もせずパッチも出さないという考え方はおかしいよね。

                >Final Cut Pro、DVD Studio Proをご利用のお客様は、引き続きQuickTime 5をご利用ください。
                http://www.apple.co.jp/quicktime/download/index.html [apple.co.jp]

                と書いてあるんだから、「5は現役」だよね。パッチ作っているんじゃないの?
                作らないのならば、セキュリティーホールの存在を告知するべき。
                親コメント
              • by Anonymous Coward
                あなたが#291472で、「windows95の人はどうすれば良いのだろう?」と言っているけど、ようするに「Win95の人はどうすれば良いかを自分で考えるだけでいちいち人に向かって言う必要はない」と言いたいのでは?
              • 書いた本人じゃなければ推測の域を出ないけど、「自己責任」って話が「考えるだけにして人には言うな」みたいな話を意味するってのはよく分かりません。

                「でもチェックすれば良いのだろうか?」と情報を出して、アップルのサイトでは情報が無いと言う情報交換する事こそ自己責任なんじゃないのだろうか。

                書かなかったけど、

                >この脆弱性が存在するのは、Windows版のQuickTime Player versions 5.xならびに6.0だ。MacOS版には影響はない。
                >
                > 問題を解決法は、アップルコンピュータが提供する最新版の「QuickTime 6.1」を適用することだ。これは同社Webサイトから入手できる。
                http://www.zdnet.co.jp/enterprise/0304/01/epn38.html [zdnet.co.jp]

                と言う情報も俺は見ていたんだよね。
                あくまでも記者からの情報だけど、この表現だと5を見捨てるみたいな表現に見えるからね。

                今の所6にしても、6.1にアップされたのは英語バージョンだけだよね。
                http://www.apple.com/quicktime/download/version.html [apple.com]

                ちなみに、OSのサポート期間とアプリのサポート期間は別ですよね。
                「うちはXPだけサポート対象でそれ以前はサポートしない」と言う方針でも構わないし、「XPのサポートすらやめる」というのもソフトメーカーの自由。
                OSのTCP辺りにセキュリティーホールがあってwindows95のパッチが出ない。そのような時には自己責任でやるのが筋って言うのは分かるよ。
                でも、アプリのセキュリティーホールに関して、アップルは何も言っていないみたいなんだよ。その段階で、「95は自己責任が筋」みたいな話が出てくるのはおかしいよね。
                OSのサポートとアプリのサポートをごっちゃにしているとしか思えない。
                親コメント
  • by Anonymous Coward on 2003年04月02日 8時49分 (#291414)
    VAIOユーザなんだけど、VAIOってQUICKTIMEがプリインストールされてるよね。スラッシュドット見てなかったらこの話に気付かないとこだったよ。他の人たちはどうするんだろ。
    • VAIO や QuickTime に限らないですよね。
      Internet Explorer や Outlook Express だって
      弱点は見つかっているわけだし。
      現実問題としてはユーザの意識に任されているということで。
      # それがおかしいって思うならそこから先は別の話。

      それとも、IE や OE は大騒ぎされるけど、Quicktime は
      マスコミの扱いが小さいorないから気付きにくいって話ですかね?
      親コメント
  • by Anonymous Coward on 2003年04月02日 8時52分 (#291415)
    マック: Windows版QuickTime 6以前に脆弱性
    と言う部分が一番気になるのですが…
  • by Anonymous Coward on 2003年04月02日 15時12分 (#291547)
     こんなところで文句を垂れるのもスジ違いだが、WIN版QuickTime6 ProVersionは、Win2000/WinXP環境(APIC付きPC)において、QTムービー再生とWindows Media Player(6.2または9)でのMPEG再生と交互に行うと、そのうちフリーズして動作しなくなるため、脆弱性云々は関係ないような気がする。動作しないのだから、クラックされることもないという究極のセキュリティ対策がされているようだ。
     Media Playerを使わなくても、MPEGムービーを再生するようなゲームをプレイしても同じ。Windows Media File DLLがメモリにロードされると何らかの競合が発生するようだ。もっともMedia Player 7/7.1/8では比較的発生しにくいような「感じ」がする。QuickTime開発において、Windows Media Fileのバージョンを決め打ちしちゃったのかもしれない。

    広く認識されている事柄ではないので、A/C
    • > 動作しないのだから、クラックされることもないという究極のセキュリティ対策がされているようだ。

      動作しないかもしれないからクラックされないかもしれない
      に修正希望。
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...