QuickTime 7.1.5 のセキュリティコンテンツについて

この記事では、QuickTime 7.1.5 のセキュリティコンテンツについて説明します。

この記事では、QuickTime 7.1.5 のセキュリティコンテンツについて説明します。このセキュリティコンテンツは、システム環境設定の「ソフトウェアアップデート」またはこちらからダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

QuickTime 7.1.5 アップデート

QuickTime

CVE-ID：CVE-2007-0711

対象となるバージョン：Windows Vista／XP／2000

影響：悪意を持って作成された 3GP ファイルを表示すると、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

説明：QuickTime による 3GP ビデオファイルの処理に、整数オーバーフローの脆弱性があります。攻撃者は、悪意を持って作成されたムービーを開くようユーザを誘導することによってオーバーフローを発生させることができ、その結果、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性があります。このアップデートでは、3GP ビデオファイルの検証を強化することで問題が解消されています。この問題は Mac OS X では発生しません。この問題の報告は、JJ Reyes 氏の功績によるものです。

QuickTime

CVE-ID：CVE-2007-0712

対象となるバージョン：Mac OS X v10.3.9 以降、Windows Vista／XP／2000

影響：悪意を持って作成された MIDI ファイルを開くと、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

説明：QuickTime による MIDI ファイルの処理で、ヒープバッファがオーバーフローする可能性があります。攻撃者は、悪意を持って作成された MIDI ファイルを開くようユーザを誘導することによってオーバーフローを発生させることができ、その結果、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性があります。このアップデートでは、MIDI ファイルの検証を強化することで問題が解消されています。この問題の報告は、McAfee AVERT Labs の Mike Price 氏の功績によるものです。

QuickTime

CVE-ID：CVE-2007-0713

対象となるバージョン：Mac OS X v10.3.9 以降、Windows Vista／XP／2000

影響：悪意を持って作成された QuickTime ムービーファイルを開くと、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

説明：QuickTime による QuickTime ムービーファイルの処理で、ヒープバッファがオーバーフローする可能性があります。攻撃者は、悪意を持って作成されたムービーにアクセスするようユーザを誘導することによってオーバーフローを発生させることができ、その結果、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性があります。このアップデートでは、QuickTime ムービーファイルの検証を強化することで問題が解消されています。この問題の報告は、McAfee AVERT Labs の Mike Price 氏と Piotr Bania 氏と Artur Ogloza 氏の功績によるものです。

QuickTime

CVE-ID：CVE-2007-0714

対象となるバージョン：Mac OS X v10.3.9 以降、Windows Vista／XP／2000

影響：悪意を持って作成された QuickTime ムービーファイルを開くと、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

説明：QuickTime によるムービーファイルの UDTA atom の処理に、整数オーバーフローの脆弱性があります。攻撃者は、悪意を持って作成されたムービーにアクセスするようユーザを誘導することによってオーバーフローを発生させることができ、その結果、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性があります。このアップデートでは、QuickTime ムービーファイルの検証を強化することで問題が解消されています。この問題の報告は、Nevis Labs の Sowhat 氏、およびTippingPoint および Zero Day Initiative に協力する匿名の研究者の功績によるものです。

QuickTime

CVE-ID：CVE-2007-0715

対象となるバージョン：Mac OS X v10.3.9 以降、Windows Vista／XP／2000

影響：悪意を持って作成された PICT ファイルを開くと、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

説明：QuickTime による PICT ファイルの処理で、ヒープバッファがオーバーフローする可能性があります。攻撃者は、悪意を持って作成された PICT 画像ファイルを開くようユーザを誘導することによってオーバーフローを発生させることができ、その結果、任意のコードが実行される可能性があります。このアップデートでは、PICT ファイルの検証を強化することで問題が解消されています。この問題の報告は、McAfee AVERT Labs の Mike Price 氏の功績によるものです。

QuickTime

CVE-ID：CVE-2007-0716

対象となるバージョン：Mac OS X v10.3.9 以降、Windows Vista／XP／2000

影響：悪意を持って作成された QTIF ファイルを開くと、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

説明：QuickTime による QTIF ファイルの処理で、スタックバッファがオーバーフローする可能性があります。攻撃者は、悪意を持って作成された QTIF ファイルにアクセスするようユーザを誘導することによってオーバーフローを発生させることができ、その結果、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性があります。このアップデートでは、QTIF ファイルの検証を強化することで問題が解消されています。この問題の報告は、McAfee AVERT Labs の Mike Price 氏の功績によるものです。

QuickTime

CVE-ID：CVE-2007-0717

対象となるバージョン：Mac OS X v10.3.9 以降、Windows Vista／XP／2000

影響：悪意を持って作成された QTIF ファイルを開くと、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

説明：QuickTime による QTIF ファイルの処理に、整数オーバーフローの脆弱性があります。攻撃者は、悪意を持って作成された QTIF ファイルにアクセスするようユーザを誘導することによってオーバーフローを発生させることができ、その結果、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性があります。このアップデートでは、QTIF ファイルの検証を強化することで問題が解消されています。この問題の報告は、McAfee AVERT Labs の Mike Price 氏の功績によるものです。

QuickTime

CVE-ID：CVE-2007-0718

対象となるバージョン：Mac OS X v10.3.9 以降、Windows Vista／XP／2000

影響：悪意を持って作成された QTIF ファイルを開くと、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性がある。

説明：QuickTime による QTIF ファイルの処理で、ヒープバッファがオーバーフローする可能性があります。攻撃者は、悪意を持って作成された QTIF ファイルにアクセスするようユーザを誘導することによってオーバーフローを発生させることができ、その結果、アプリケーションがクラッシュしたり、任意のコードが実行されたりする可能性があります。このアップデートでは、QTIF ファイルの検証を強化することで問題が解消されています。この問題の報告は、iDefense Vulnerability Contributor Program に協力している Ruben Santamarta 氏と JJ Reyes 氏の功績によるものです。

QuickTime

CVE-ID：CVE-2006-4965、CVE-2007-0059

対象となるバージョン：Mac OS X v10.3.9 以降、Windows Vista／XP／2000

影響：悪意を持って作成された QuickTime ムービーファイルまたは QTL ファイルを表示すると、ローカルドメインのコンテキストで任意の JavaScript コードが実行される可能性がある。

説明：QuickTime のブラウザプラグインに、クロスゾーンスクリプティングの問題があります。攻撃者は、悪意を持って作成された QuickTime ムービーファイルまたは QTL ファイルを開くようユーザを誘導することによって問題を発生させることができ、その結果、ローカルドメインのコンテキストで任意の JavaScript コードが実行される可能性があります。この問題は Month of Apple Bugs Web サイト (MOAB-03-01-2007) に記載されています。このアップデートでは、QTL ファイルの qtnext 属性内の URL、および QuickTime ムービーの HREFTracks の処理を次のように変更することで問題が解消されています。リモートサイトからムービーを読み込む場合、「http:」と「https:」の URL のみが許可されます。ローカルにムービーを読み込む場合、「file:」の URL のみが許可されます。

Mac または Windows 用の QuickTime 7.1.5 は、ソフトウェアアップデートから入手するか、こちらから手動でダウンロードできます。