QuickTime 7.3.1 のセキュリティコンテンツについて

この記事では QuickTime 7.3.1 のセキュリティコンテンツについて説明します。このセキュリティコンテンツは、「ソフトウェアアップデート」の環境設定、または Apple の「ダウンロード」ページからダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

QuickTime 7.3.1

QuickTime

CVE-ID：CVE-2007-6166

対象となるバージョン：Mac OS X v10.3.9、Mac OS X v10.4.9 以降、Mac OS X v10.5 以降、Windows Vista、XP SP2

影響：悪意を持って作成された RTSP ムービーファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

説明：QuickTime が Real Time Streaming Protocol (RTSP) ヘッダを処理する際、バッファオーバーフローが生じる脆弱性があります。攻撃者は、悪意を持って作成された RTSP ムービーを開くようユーザを誘導することで、アプリケーションを突然終了させたり、任意のコードを実行したりする可能性があります。このアップデートでは、宛先バッファのサイズを大きくして大量のデータを処理できるようにすることで問題が解消されています。

QuickTime

CVE-ID：CVE-2007-4706

対象となるバージョン：Mac OS X v10.3.9、Mac OS X v10.4.9 以降、Mac OS X v10.5 以降、Windows Vista、XP SP2

影響：悪意を持って作成された QTL ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

説明：QuickTime が QTL ファイルを処理する際、ヒープバッファオーバーフローが生じます。攻撃者は、悪意を持って作成された QTL ファイルを開くようユーザを誘導することで、アプリケーションを突然終了させたり、任意のコードを実行したりする可能性があります。このアップデートでは、配列境界チェック機能を改善することで問題が解消されています。

QuickTime

CVE-ID：CVE-2007-4707

対象となるバージョン：Mac OS X v10.3.9、Mac OS X v10.4.9 以降、Mac OS X v10.5 以降、Windows Vista、XP SP2

影響：QuickTime の Flash メディアハンドラーに複数の脆弱性が存在する。

説明：QuickTime の Flash メディアハンドラーには複数の脆弱性が存在し、これらの脆弱性に起因する最も重大な問題として、任意のコードが実行される可能性があります。このアップデートでは、QuickTime の Flash メディアハンドラーは、安全であることがわかっている一部の既存の QuickTime ムービーを除いて無効になります。この問題の報告は、Adobe Secure Software Engineering Team (ASSET) の Tom Ferris 氏、McAfee Avert Labs の Mike Price 氏、Syseclabs のセキュリティ研究者の Lionel d'Hauenens 氏と Brian Mariani 氏、および TippingPoint の Zero Day Initiative に協力している匿名の研究者の功績によるものです。