QuickTime7.5.5とiTunes8の脆弱性を突く攻撃コード

QuickTime7.5.5とiTunes8の脆弱性を突く攻撃コード at MAC

1:名称未設定
08/09/19 20:31:54 hchg/e660
米国立標準技術研究所（NIST）は18日、QuickTime 7.5.5とiTunes 8.0に脆弱性があることを公表した。
これらのソフトは、Appleが9日、新型iPodの発表にあわせてリリースしたばかりの最新バージョンにあたる。

NISTの脆弱性データベースによると、リモートからブラウザをクラッシュさせられたり、
任意のコードを実行される可能性があるという。
Webページや.mp4/.movファイルに、長いQuickTimeタグを埋め込むことで攻撃可能としている。

この脆弱性についてはすでに攻撃コードが公開されており、
これについて18日付のMcAfee Avert Labsのブログで言及している。

それによると、攻撃コードの作者はリモートヒープオーバーフローだとしているが、
McAfee Avert Labsが分析したところ、実際はoff-by-oneスタックオーバーフローであり、
これによって任意のコードを実行可能であるとは考えにくいという。
しかしながら、ユーザーはこれを軽く考えず、適切な防御手段を考えるべきだとしている。

URLﾘﾝｸ(internet.watch.impress.co.jp)

レスを読む