QuickTime for Windows の脆弱性に要注意

Windows で QuickTime を利用しているユーザは、Apple のアドバイスに従いアンインストールする方向での対応をできるだけ速やかに検討してください。

これには２つの理由があります。

第一に Apple は、QuickTime for Windows のサポートを終了するとしています。Apple はこの製品に対するセキュリティ更新プログラムの提供を継続しないため、ユーザにアンインストールすることを勧めています。なお、MacOS X の QuickTime については、サポートが継続されます。

第二に、2016年4月14日、トレンドマイクロの Zero Day Initiative（ZDI）は、QuickTime for Windows に影響を与える2つの重大な脆弱性「ZDI-16-241」と「ZDI-16-242」について情報を公開しました。これは、公開された脆弱性に対して製造元が修正プログラムを提供しない場合には情報を公開する、という ZDI の情報公開方針に基づくものです。Apple からは今後 QuickTime for Windows のセキュリティ更新が提供されないため、これらの脆弱性は修復されないことになります。

トレンドマイクロでは、これらの脆弱性を利用する攻撃を確認していません。とはいえ、QuickTime for Windows が抱える脆弱性が利用される危険性から Windows を保護するためには、QuickTime for Windows をアンインストールするしか方法がありません。つまり QuickTime for Windows は、Microsoftの Windows XP や Oracle の Java 6 のような、今後脆弱性が修復されず、さらに新しく脆弱性が追加され、危険性が増していくソフトウェアに加わることになります。

QuickTime for Windows のアンインストール方法については、以下の Apple の Webサイトをご参照ください。

• https://support.apple.com/ja-jp/HT205771

また、弊社のネットワークセキュリティ対策製品「TippingPoint」をご利用のユーザは、2015年11月24日以降、以下のフィルターによりこれらの脆弱性から保護されています。

• 21918(ZDI-CAN-3401)
• 21919(ZDI-CAN-3402)

セキュリティ対策による保護があったとしても、最終的には Apple のアドバイスに従って QuickTime for Windows のアンインストールをいち早く検討することが正しい対処です。Apple からセキュリティ更新は提供されないので、製品の抱える、あるいは今後増える恐れがあるすべての脆弱性から保護するためには、アンインストールすることが現実的な方法となります。

技術的詳細について重要な点は、この2つの脆弱性はどちらも、ヒープ破損によりリモートでコードが実行される脆弱性です。１つは、割り当てられたヒープ領域外に攻撃者がデータを書き込むことが可能になる脆弱性です。もう１つは、無効なインデックスの値を指定することによって攻撃者が割り当てられたヒープ領域外にデータを書き込むことができる、stco Atom の脆弱性です。また、どちらの脆弱性も、ユーザが不正な Webサイトを閲覧する、または不正なファイルを開くことによって攻撃に利用されます。さらに、QuickTime プレーヤーの（つまり大抵はログオン中のユーザの）セキュリティコンテキストでコードを実行することができます。

どちらも共通脆弱性評価システム（CVSS）2.0 での評価値は 6.8 です。詳細については以下を参照してください。

• http://zerodayinitiative.com/advisories/ZDI-16-241/
• http://zerodayinitiative.com/advisories/ZDI-16-242/

さらなる情報については「米コンピュータ緊急事態対策チーム（US Computer Emergency Readiness Team、US-CERT）」の Webサイトを参照してください。

• https://www.us-cert.gov/ncas/alerts/TA16-105A

【更新情報】

2016/04/20	10:00	サーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」および「Trend Micro Virtual Patch for Endpoint（旧Trend Micro 脆弱性対策オプション）」をご利用のお客様は、以下のフィルタを適用することにより、この脆弱性を悪用した攻撃から保護されています。 1007594 – Apple QuickTime ‘moov’ Atom Heap Corruption Remote Code Execution Vulnerability 1007595 – Apple QuickTime Atom Processing Heap Corruption Remote Code Execution Vulnerability
2016/05/11	06:45	サーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」および「Trend Micro Virtual Patch for Endpoint（旧Trend Micro 脆弱性対策オプション）」をご利用のお客様は、以下の追加フィルタもご適用することを推奨します。 1007532 – JBoss Application Server Unauthenticated Remote Command Execution Vulnerability 1007223 – Microsoft GS Wavetable Synth Memory Corruption Vulnerability 1007136 – Apple Quicktime ‘stbl’ Remote Code Execution Vulnerability

参考記事：

• 「Urgent Call to Action: Uninstall QuickTime for Windows Today」
  by Christopher Budd (Global Threat Communications)

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）