Apple、QuickTimeをバージョンアップ

AppleがQuickTimeを7.6にバージョンアップ。

私自身はQuickTimeを使っていないので気づきませんでしたが多くの問題があったようですね。
修正された脆弱性は以下のとおりです。

・CVE-2009-0001：QuickTimeのRTSPのURLの処理に、ヒープバッファオーバーフローの脆弱性が存在する。悪意を持って作成されたRTSPのURLにアクセスした場合、予期しないアプリケーションの終了や任意のコード実行につながる可能性がある。
・CVE-2009-0002：QuickTimeが持つQTVR（QuickTime Virtual Reality）動画ファイムのTHKDアトムの処理に、ヒープバッファオーバーフローの脆弱性が存在する。悪意を持って作成されたQTVRファイルを再生した場合、予期しないアプリケーションの終了や任意のコード実行につながる可能性がある。今回のアップデートでは、境界チェックの処理を改善することによってこの問題を解決している。
・CVE-2009-0003：AVI動画ファイルを処理する際に、ヒープバッファオーバーフローが生じる場合がある。悪意を持って作成されたAVI動画ファイルを開くと、予期しないアプリケーションの終了や任意のコード実行につながる可能性がある。
・CVE-2009-0004：MP3の音声コンテンツを持つMPEG-2動画ファイルの処理に、バッファオーバーフローの脆弱性が存在する。悪意を持って作成された動画ファイルを再生すると、予期しないアプリケーションの終了や任意のコード実行につながる可能性がある。
・CVE-2009-0005：QuickTimeが持つH.263でエンコードされた動画ファイルの処理に、メモリ破壊の脆弱性が存在する。悪意を持って作成された動画ファイルを再生すると、予期しないアプリケーションの終了や任意のコード実行につながる可能性がある。
・CVE-2009-0006：QuickTimeのCinepackエンコーディングを使った動画ファイルの処理に、符号属性の問題が存在し、ヒープバッファオーバーフローを引き起こす可能性がある。悪意を持って作成された動画ファイルを再生すると、予期しないアプリケーションの終了や任意のコード実行につながる可能性がある。
・CVE-2009-0007：QuickTimeが持つQuickTime動画ファイルのjpegアトムの処理に、ヒープバッファオーバーフローの脆弱性が存在する。悪意を持って作成された動画ファイルを再生すると、予期しないアプリケーションの終了や任意のコード実行につながる可能性がある。

QuickTimeの自動アップデートで更新されるようです。

タグ：脆弱性 QuickTime Apple