パスワードを忘れた? アカウント作成
Close
14298 story
ソフトウェア

Month of Apple Bugs、まずQuickTimeの脆弱性を公表 23

ストーリー by Acanthopanax
1日1バグ 部門より

AppleやMac OS Xのソフトウェアに関する脆弱性を1月中の毎日公表するというMonth of Apple Bugsが開始された。まず最初に公表されたのはQuickTimeのrtsp URLハンドラに関する脆弱性。Mac OS X版およびWindows版のQuickTime 7.1.3と、おそらくそれ以前のバージョンも影響を受けるという。細工を施した長いrtsp URLによりバッファオーバーフローが発生し、リモートから任意のコードを実行させることができるとのこと。Secuniaのセキュリティ勧告ではこの脆弱性の危険度を、5段階評価で上から2番目のHighly criticalとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Month of Apple Bugs、まずQuickTimeの脆弱性を公表 More

  • 本家記事経由 [slashdot.org]ですが、Mac OS Xについては、この脆弱性に対処するApplication Enhancer用モジュール [bikemonkey.org]が公開されています。

    • Re:Mac OS X用の対策 (スコア:0)

      by Anonymous Coward
      >Application Enhancer用モジュールが公開されています
      いくらDarwinの開発者が作ったとはいえApple非公式パッチを適用させるのはなぁ
      一般ユーザーにどうやって入れさせるつもりなんだろう

  • 脆弱性の危険度 (スコア:0)

    by Anonymous Coward on 2007年01月03日 23時54分 (#1086075)
    たまたまなのか良くあることなのかわからないけど、先日のMac OS X、ディスクイメージの取り扱いに脆弱性 [srad.jp]では、当初"Highly critical"とされたものが結局"Not critical"になっちゃったしhttp://secunia.com/advisories/23012/ [secunia.com]、どの程度真面目(?)にとらえとけばええのだろうか。
    # それによって自分が何かアクション起こすとかいうことじゃないんだけどさ。

    • Re:脆弱性の危険度 (スコア:0)

      by Anonymous Coward
      100問題があると発表されたうちの1つが問題なかったからといって
      他の99も問題はないと判断する馬鹿はいないよね。

      Appleはつい最近も致命的なQuickTimeのゼロデイ攻撃が行われている
      脆弱性を長期間にわたって放置していた前科もあるので、Highlyから
      Extremely critical になるのも時間の問題では?

      というよりQuitckTimeなんて使っちゃいけないソフトのリストを
      作ったら、トップクラスにあるよ。

      • Re:脆弱性の危険度 (スコア:1)

        by vn (10720) on 2007年01月04日 9時16分 (#1086137) 日記
        というよりQuitckTimeなんて
        なんか、痒そうな名前だ。
        シェア
        親コメント

      • Re:脆弱性の危険度 (スコア:0)

        by Anonymous Coward
        >Appleはつい最近も致命的なQuickTimeのゼロデイ攻撃が行われている
        >脆弱性を長期間にわたって放置していた前科もあるので、Highlyから

        酷いね。嘘付いちゃダメでしょう。

      • Re:脆弱性の危険度 (スコア:0)

        by Anonymous Coward
        > Appleはつい最近も致命的なQuickTimeのゼロデイ攻撃が行われている
        > 脆弱性を長期間にわたって放置していた前科もあるので、Highlyから
        > Extremely critical になるのも時間の問題では?

        Critical かどうかを、放置されている時間によって決めるなんて「ありえない」と思う。

        • Re:脆弱性の危険度 (スコア:0)

          by Anonymous Coward
          >Critical かどうかを、放置されている時間によって決めるなんて「ありえない」と思う。

          時間ではなく、容易に攻略できるかどうか、実際に攻撃が行われているか
          で危険度は上昇すると言っている。

          Appleは、昨年の12月初旬にSNSのMySpace上で激しく行われた攻撃
          (悪意のスクリプト埋め込み)に関して、警告無しでJavaScriptを
          実行する仕様は「脆弱性」だという指摘に対し、「適切な機能」と
          断言して脆弱性ではないと否定し、長期間放置したよね。

          MySpaceからの強い要請にやっと重い腰をあげ、MySpace専用の修正
          パッチをMySpace経由でリリースするなど、お世辞にも適切とは
          いえない陳腐な対応でした。

          「嘘」「ありえない」といういい加減なコメントで現実から
          目をそむけるから、「マカーは…」って言われるんだよね。

          • Re:脆弱性の危険度 (スコア:0)

            by Anonymous Coward
            > 時間ではなく、容易に攻略できるかどうか、実際に攻撃が行われているかで危険度は上昇すると言っている。

            いや Critical なもんは攻撃が行われていようといまいと Critical なんであると思う。
            というか、そもそも、もとの投稿者が「時間の問題」なんて言うのがいけない。

          • Re:脆弱性の危険度 (スコア:0)

            by Anonymous Coward
            MySpaceの脆弱性はQuickTime自体に問題がある訳ではないと
            いうのがAppleの見解であり、だから修正は公式提供されない。

            技術的に疎いとセキュリティゴロの恫喝と煽りを真に受けるんだな。

            • Re:脆弱性の危険度 (スコア:0)

              by Anonymous Coward
              MySpaceの脆弱性はQuickTime自体に問題がある訳ではないと いうのがAppleの見解であり、だから修正は公式提供されない。
              馬鹿言うな。QuickTime自体の脆弱性だよ。Appleが馬鹿なだけ。
              技術的に疎いとセキュリティゴロの恫喝と煽りを真に受けるんだな。
              お前のことか?
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア