QuickTimeおよびiTunesにヒープ・オーバフロー脆弱性 48
ストーリー by Acanthopanax
怪しいファイルは開かない 部門より
怪しいファイルは開かない 部門より
AppleのQuickTime 7およびiTunes 6 (Mac OS X版およびWindows版)に脆弱性があることが発見された(Security-Protocolsの勧告、Secuniaの勧告)。特別に細工された.movファイルを再生することにより、ヒープ・オーバーフローが発生し、攻撃者はプログラムをクラッシュさせることができる。Security-Protocolsでは任意コードの実行も可能としているが、Secuniaではこれについては未確認としている。現在までにパッチは提供されていない。現状での対策は、信頼できないソースからの.movファイルを開かないこと、となっている。
怪しいMOVファイルを再生しないって。 (スコア:5, すばらしい洞察)
そんなの、無理でしょう [gametrailers.com]。
↑ここをクリック
Re:怪しいMOVファイルを再生しないって。(オフトピ) (スコア:1)
Re:怪しいMOVファイルを再生しないって。 (スコア:0)
GameTrailers.com [gametrailers.com]のムービーなら怪しくても再生せざるをえない、ということですか?
であるならば一時的な対応策として件のサイトを見ない、という手があると思います。
Re:怪しいMOVファイルを再生しないって。 (スコア:5, 参考になる)
だいたい動画と言うファイルの性質からして、知らんものを開けるな、というのが難しいと言うか、こっちとしては知らんものが見たいわけで。
ぶっちゃけそんな不具合なんてどうでもいい (スコア:5, すばらしい洞察)
- iTunes強制インストール
- mp3などのブラウザ直接再生の強制化
- アンインストールしても再生強制化が残り、
という鬼畜仕様をとっとと何とかしろ。Firefoxでは「QuickTimeが必要です」ダイアログが出て
にっちもさっちもいかなくなる
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:2, 参考になる)
Re:抱き合わせはやめて欲しいよな。 [srad.jp] in iTunesに深刻な脆弱性? [srad.jp]
2つ目はあまり不便に思わないなあ。そもそもネット上のmp3を再生することが少ないからだけど。
3つ目は「Options」→「Downloads」→「View & Edit actions」をいじっても駄目ですか?
# 手元にQTが入ってるマシンがないのでどういじればいいかは示せないのですが。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:2, 興味深い)
SpyBot-Search&DestroyがiTunesの一部を検出してきた記憶があります。即丸ごと削除した。
RealPlayerもそうだけど、マルチメディア系のソフトにあまりいい思い出がない私です。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1, 参考になる)
今はこんなお行儀の悪い動作はしません。
WMPはWindowsが設定を変更しようとしたりしますが、
Realに至っては最初に選ばせてくれますし、
メニューも比較的浅く、設定の配置も基本に忠実です。
DivXがちょっと今のQT気味になってきているのが
気になる。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:0)
勉強になりました
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:4, 参考になる)
今は大分マシのようですよ。 [higaitaisaku.com]
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1)
うちではひっかかった記憶がないですが、何が検出されたのかってわかります??
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:2, 参考になる)
ヒントは無償ダウンロードのページの
右真ん中からちょっと下。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1)
俺もiTunesに再生能力は欠片も求めてないんだけど....
# iPod Shuffle楽曲転送アプリとしてしか
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:2, 参考になる)
エンコーダとしても使ってますよ。
# rm -rf ./.
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1, 参考になる)
エンコードはMP3だけどExactAudioCopy [exactaudiocopy.de] + LAME で。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:0)
欠片も求めてないんだけど、、、アンインストール
できないんだよね。IEとか。
という話と同じ。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1)
てゆうか、スタンドアローン版見つけられず諦めてiTune付き入れている人多そうですね。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:0)
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1)
昔のQTインストーラにはブラウザプラグインインストール拒否オプションがあったのですが、最近のには無いのですよね。いやはや迷惑千万。
今すぐQT PROへ!というでっかいウィンドウが出なくなったのは評価できるんですけどねぇ
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1)
天琉陳(Teruching)
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1, 参考になる)
とりあえず、下記のテキストを qtremove.reg 等のファイル名で保存して実行すれば対策できるようです。
(↓ここから)
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\MIME\Database\Content Type\audio/mp3]
"CLSID"="{cd3afa76-b84f-48f0-9393-7edc34128127}"
[HKEY_CLASSES_ROOT\MIME\Database\Content Type\audio/mpeg]
"CLSID"="{cd3afa76-b84f-48f0-9393-7edc34128127}"
(↑ここまで)
ただ、何かの拍子に再びQTに奪われてしまいますので、度々実行する必要があります。
スタートアップに入れるといいかもしれませんね。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:0)
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:0, フレームのもと)
だいたい再生強制化ってなんだ?ヘルパーアプリを変更できない
アプリやOS側の問題じゃないのかい。それでQT叩く意味がわからん。
といってるのと何が違うんだ?
# WMPが必要ですって言われてインストールしても
# WMV10とかMacのWMPじゃ再生できないんですけど。
# これも鬼畜仕様っていうのかなぁ。
# WMV自体が無くなって欲しいと思っている人は少なく
# ないと思うけど。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:1, 参考になる)
QTが凄いのは、mp3とかQTが必須じゃないものまで
アンインストール後にも遺恨を残しつづける仕様という点。
この乗っ取り具合は凄いよ。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:0, オフトピック)
さすが普及しているだけあって、クソゲーならぬ「クソフト」も多いように思える Windows。
--
QuickTime もあまり行儀のいいほうではない
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:0)
インストーラーがサードパーティーな為の弊害や、
アップデート時にファイルが増えているがアンインストーラーに追加し忘れ
>きれいに消えたように見せといて実はファイルが残ってる
>アンインストーラが、DLLファイルを削除していいかどうかをユーザに聞いてくる
下手に消すと他のソフトが使ってると困るのは解るが・・・
やっぱユーザーに聞いても困るよ・・・
# そんなわけで残しっぱなしにした場合は上の状況に。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:2, すばらしい洞察)
ってか、QTってのはそういうのが許される(別に許している訳では無いとは思うが…)ものではなく、既に十分メジャーなものでその体たらくってのが問題なのではないかと。
#マイナーメーカーや個人が作っているんでは無いんだからさ。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:0)
この期に及んでこれでは「マジメにWindowsに対応させる気がない」と言われても仕方ないですな。
初期の写真屋とかCANVASみたいに「この度ようやくMacから移植しました」とかならまだしも。
Re:ぶっちゃけそんな不具合なんてどうでもいい (スコア:2, おもしろおかしい)
--
まあ、これに限らないと思うが
QuickTime を外す (スコア:4, 参考になる)
この問題以外にも、7.0.3 には問題が多いので、とっとと前のバージョンに戻した方がいいと思います。
Re:QuickTime を外す (スコア:3, 参考になる)
今回の脆弱性が確認されたのは7.0.3ですが、それ以前のバージョンにもこの脆弱性がある可能性が指摘されています(Secuniaの勧告 [secunia.com]曰く“Other versions may also be affected”)。また、7.0.3で修正された脆弱性もあります [srad.jp]ので、前のバージョンに戻すというのは、安全性という点からは逆効果ではないかと思われます。
Re:QuickTime を外す (スコア:1)
ま、それだけではなんなので、、、QT7 は、Panther 上では FinalCut Pro やら iMovie と相性が悪いようです。
例:
http://www.macosx.com/content/faq.php/q1343/Quicktime-7.html
ユーザは意外と多い? (スコア:3, 参考になる)
この場合、QuickTimeのアイコンをどこにも作らないため使用者が気付かないことがあります。
いつも最大音量 (スコア:2, おもしろおかしい)
危なくてえっちな動画を見ることもできません。
そんな僕はVLC使ってます。
Re:いつも最大音量 (スコア:2, 興味深い)
Windows全体のボリュームも下げられたり
して、アレを見るたびに「頭悪ぅ・・・」
と思ってしまう。
アプリごとに必要なQTのバージョンが違う
のに、別のアプリで強制インストールされたQT
のせいで一部の機能が他のアプリで使えなくなったり・・・
頭悪ぅ
Re:いつも最大音量 (スコア:0)
QTをQuickTimeの略称として使うのやめませんか?
QTといえばKDEにも使われてるライブラリなわけで云々…
// 自分がオタクだといまさらながら気づいたのでAC.
Re:いつも最大音量 (スコア:1, 参考になる)
それは Qt なんじゃ?
Re:いつも最大音量 (スコア:0)
> Windows全体のボリュームも下げられたり
> して、アレを見るたびに「頭悪ぅ・・・」
これってQTに限らずありませんか?
アプリの音量調節がシステムボリュームの調節になってるアプリって
たくさんありませんか?わたしもその度「頭悪ぅ」:Pって思いますけどね。
Win95〜XPまで長いこと使ってきてるけど、いまだ音量設定のうま
い使い方がわかりません。
アプリによって大音量になったり、小音量になったり困ってしまいます。
音量設定にフェーダーがたくさんあっても意味ないし。初心者にもわかりにくい。
OSのVol設定を”マスターボリューム”として各アプリではそのマ
スターボリュームを最大値として相対的に音量調節する方法の方が
つかいやすいんだけどなぁ。
# 、、、、Macみたいにね(ボソ。
iTunesの信頼性 (スコア:1, 興味深い)
iPod買っちゃったケド、もっといいHDDプレイヤーないもんでしょうか。
汎用性に富んでてある程度デザインがかっこいいやつ(デザインは主観的要素だけど)
I think I can
Re:iTunesの信頼性 (スコア:1)
如何せんデザインが…
http://www.iriver.co.jp/product/ [iriver.co.jp]
これで Sony Walkman A Series のデザインなら買いなんだけど…
http://www.walkman.sony.co.jp/ [sony.co.jp]
#Apple のデザインセンスが何であんなに人気在るのか…
「美」の主観 (スコア:0)
わたしなんかは、「美」という意味での Sony Walkman A のデザインの良さがわかりませんし。(初めて見たときは「マジ?これなの?」ってびっくりしました)
Re:WMV10を採用してくれ (スコア:0)
Re:WMV10を採用してくれ (スコア:0)
Re:WMV10を採用してくれ (スコア:0)
http://www.flip4mac.com/wmv.htm
Re:WMV10を採用してくれ (スコア:0)
10とかDRM付きのも再生できるの?
Re:WMV10を採用してくれ (スコア:1, 参考になる)