Apple、Security UpdateでQuickTime7.1.6の脆弱性に対処。アップデーターの配布開始。
Posted by ku-suke | Filed under ニュース
Apple Japan http://docs.info.apple.com/article.html?artnum=305531 Security Update (QuickTime 7.1.6) について。 この記事では、Security Update (QuickTime 7.1.6) について説明します。このセキュリティアップデートはシステム環境設定の「ソフトウェア・アップデート」パネルか、ソフトウェアアップデートページを利用してダウンロードし、インストールできます。 ユーザ保護の観点から、アップルでは、徹底した調査を完了し必要なパッチやリリースが利用可能になるまで、セキュリティの問題に関して公開、説明または確認を行いません。Apple 製品のセキュリティについて詳しくは、アップル製品のセキュリティ Web サイトを参照してください。 Security Update (QuickTime 7.1.6) QuickTime CVE-ID:CVE-2007-2388 対象となるバージョン:QuickTime 7.1.6(Mac OS X および Windows) 影響:悪意のある Web サイトを表示すると、恣意的なコードが実行される可能性がある。 説明:この問題は QuickTime for Java で発生し、割り当てられたヒープを超えた範囲でのオブジェクトのインストールや処理が許可されてしまうことがあります。アタッカーは、悪質な Java アプレットにアクセスするようにユーザを誘導することで問題を引き起こすことができ、その結果、恣意的なコードが実行されることがあります。このアップデートでは、Java アプレットに対して追加認証を実行することで問題を解決しました。この問題の報告は、IBM Internet Security Systems 社 X-Force チームの John McDonald、Paul Griswold、Tom Cross、および Secunia Research 社の Dyon Balding の各氏の功績によるものです。 QuickTime CVE-ID:CVE-2007-2389 対象となるバージョン:QuickTime 7.1.6(Mac OS X および Windows) 影響:悪質な Web サイトを表示すると、機密情報が流出する可能性がある。 説明:QuickTime for Java における設計上の問題により、Web ブラウザのメモリが Java アプレットによって読み取られる場合があります。アタッカーは、悪質な Java アプレットにアクセスするようにユーザを誘導することで問題を引き起こすことができ、その結果、機密情報が流出することがあります。このアップデートでは、Java アプレットがメモリを使うことを許可する前にそのメモリをクリアすることによって問題を解決しました。 と掲載されています。
Comments are closed.
