Windows版QuickTime 6以前に脆弱性 29
ストーリー by yourCat
ついでにOS_X版もアップデート 部門より
ついでにOS_X版もアップデート 部門より
Katuragi 曰く、 "Mac OS X用QuickTime 6.1.1がリリースされた。ソフトウェアアップデートによると、主な変更点は「QuickTime 6.1.1 により、MPEG-4 ストリーミングでの不具合の修正が行われます。」現時点でこれ以上のリリース情報はない。"
[Update 2003年4月2日 00:30 JST] Windows版QuickTime Playerに脆弱性があり、これを塞いだバージョン6.1がリリースされた。ダウンロード・ページまたはソフトウェア・アップデート経由で入手できる。各種OS別の最新バージョン一覧も参考にしよう。
3GPP対応は? (スコア:5, 興味深い)
6.1.1で対応したんでしょうか?
6.1.1のQuickTime Playerのパッケージを覗いてみたら、3GPPタイプのサポートの記述と
それ用のアイコンがあったんですが、実はそれは6.1にもあったという罠。
Security Update (スコア:3, 参考になる)
Windows版QuickTime Player 5.xおよび6.0にはセキュリティーホールがあったので、6.1へバージョンアップしてね、というメールがAppleのsecurity-announce ML [apple.com]で流れておりました。Mac OS / Mac OS X版にはこの脆弱性はないとのこと。
Re:Security Update (スコア:2, 興味深い)
先程、Mac OS X 版の QuickTime Player 6.0 で「既存のソフトウェアをアップデート...」したら、リストに 6.1.1 が出てきました。
説明には、MPEG-4 ストリーミングでの不具合修正と出ているので、Mac OS X 版にも(脆弱性が)存在しているのではないでしょうか?
;; 単に、Version 合わせだったり…(^^;
Re:Security Update (スコア:1)
日本語版はいまだ6.0.2ってのが何とも。
Re:Security Update (スコア:1)
Re:Security Update (スコア:0)
Re:Security Update (スコア:2, 参考になる)
IDとパスにどっちもarchivesを入れればOK。
こういう制限ってロボットに拾われないようにやってるんですかね。。
Re:Security Update (スコア:1)
Re:Security Update (スコア:2, 参考になる)
QuickTime .mov形式はURLを埋め込む事ができます。このURLにある特殊な値を持たせることで、QuickTime Playerの実行権限下に任意のコードを実行できる穴が空くことがあるそうです。「Windows版にのみ存在」「特殊なURL」といったあたりで、……まぁそういうことです。
windows95の人は? (スコア:1)
http://www.apple.co.jp/quicktime/download/system_req.html [apple.co.jp]
windows95の人はどうすれば良いのだろう?
http://til.info.apple.co.jp/cgi-bin/WebObjects/TechInfo.woa/wa/showTIL... [apple.co.jp]
でもチェックすれば良いのだろうか?
Re:windows95の人は? (スコア:0)
Win95の人は QuickTime5 を使い続けるしかないんでしょうけど、その ページ
見ても更新された気配はないですねぇ。。。
ちなみに、アップルコンピュータ [apple.co.jp]のサイトにはまだ何も記述がないようです
Re:windows95の人は? (スコア:0)
Re:windows95の人は? (スコア:1)
また、OSのサポートとアプリのサポートって別だよね。
ちなみに、先日RealPlayer Basicのパッチ当てたけど、スジからずれていたのだろうか?
(ゲーム用ライブラリーみたいのは95では動かないみたいね。OSR2以降って書いてあったから。しかし、セキュリティーホールのパッチは出たよ)
俺は「5用のパッチは出ない」とは思っていないが。
無償提供されているソフトの開発を打ち切るのはソフトメーカーの自由。しかし、サポートについてどう考えているかは評価される。
「2002 年 6 月 26 日 Windows Media Player 用の累積的な修正プログラム (320920) (MS02-032)」の時は6.4もサポートしたね。
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan... [microsoft.com]
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan... [microsoft.com]
セキュリティーホールのあるソフト配っておきながら、穴に気づいても対応しないのがアップルの方針とは思えないが。
5から6へ移行した時に、ライブラリー全部書き直したの?
6を修正した後、その部分を5に埋め込むのって難しいとは思えないけど....
簡単だったらパッチ出すだろ。
Re:windows95の人は? (スコア:0)
Re:windows95の人は? (スコア:1)
「いちいち騒がないはず」ってのもいまいち分かりません。
パッチを自分で作れって事?
騒いだ覚えも無いんだけど。
俺はたれ込み文のリンク見れないし、アップルのサイトでは告知していないみたい。
>▽ QuickTime Player
> QuickTime Player は細工された QuickTime URL を適切にチェックしていないため、バッファオーバーフローの問題が存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから任意のコードを実行される可能性がある。
>
https://www.netsecurity.ne.jp/article/6/9400.html
で、「バッファオーバーフローの問題が存在する」と分かったんで、早くパッチでないかな?と思っているだけですが。
おそらく (スコア:1)
"caveat emptor" つまり、使用者の自己責任でって言いたかったのでしょう、AC氏。
Re:windows95の人は? (スコア:0)
要はぜんぜんわかってないってことだわね。
「your own risk」ってのは(分かってて言ってんだとはおもうけど)
「自己責任」ってことだろ。
けして特別ではなく割とよく使われる表現だと思うが。
今現在WIN95を
Re:windows95の人は? (スコア:1)
誰も言っていないような気がしますが。
それと自己責任ですが、それってXPとかには「自己責任は無い」と言う意味?
>無償提供されているソフトの開発を打ち切るのはソフトメーカーの自由。しかし、サポートについてどう考えているかは評価される。
と、私は述べてます。「出されないのはおかしい」ではなく「打ち切るのはソフトメーカーの自由」と言っているのですが....
ちなみに、私は「対応した6.1が出たよ」と言う話は聞いているが、「5用のパッチは出さない」って話は聞いていません。
Re:おそらく (スコア:1)
でも、セキュリティーホールの存在を知っていながら、告知もせずパッチも出さないという考え方はおかしいよね。
>Final Cut Pro、DVD Studio Proをご利用のお客様は、引き続きQuickTime 5をご利用ください。
http://www.apple.co.jp/quicktime/download/index.html [apple.co.jp]
と書いてあるんだから、「5は現役」だよね。パッチ作っているんじゃないの?
作らないのならば、セキュリティーホールの存在を告知するべき。
Re:windows95の人は? (スコア:0)
Re:windows95の人は? (スコア:1)
「でもチェックすれば良いのだろうか?」と情報を出して、アップルのサイトでは情報が無いと言う情報交換する事こそ自己責任なんじゃないのだろうか。
書かなかったけど、
>この脆弱性が存在するのは、Windows版のQuickTime Player versions 5.xならびに6.0だ。MacOS版には影響はない。
>
> 問題を解決法は、アップルコンピュータが提供する最新版の「QuickTime 6.1」を適用することだ。これは同社Webサイトから入手できる。
http://www.zdnet.co.jp/enterprise/0304/01/epn38.html [zdnet.co.jp]
と言う情報も俺は見ていたんだよね。
あくまでも記者からの情報だけど、この表現だと5を見捨てるみたいな表現に見えるからね。
今の所6にしても、6.1にアップされたのは英語バージョンだけだよね。
http://www.apple.com/quicktime/download/version.html [apple.com]
ちなみに、OSのサポート期間とアプリのサポート期間は別ですよね。
「うちはXPだけサポート対象でそれ以前はサポートしない」と言う方針でも構わないし、「XPのサポートすらやめる」というのもソフトメーカーの自由。
OSのTCP辺りにセキュリティーホールがあってwindows95のパッチが出ない。そのような時には自己責任でやるのが筋って言うのは分かるよ。
でも、アプリのセキュリティーホールに関して、アップルは何も言っていないみたいなんだよ。その段階で、「95は自己責任が筋」みたいな話が出てくるのはおかしいよね。
OSのサポートとアプリのサポートをごっちゃにしているとしか思えない。
ソニーからの連絡は? (スコア:0)
Re:ソニーからの連絡は? (スコア:1)
Internet Explorer や Outlook Express だって
弱点は見つかっているわけだし。
現実問題としてはユーザの意識に任されているということで。
# それがおかしいって思うならそこから先は別の話。
それとも、IE や OE は大騒ぎされるけど、Quicktime は
マスコミの扱いが小さいorないから気付きにくいって話ですかね?
Re:ソニーからの連絡は? (スコア:0)
IEが入っているのは常識
マック (スコア:0)
と言う部分が一番気になるのですが…
Re:マック (スコア:0)
Re:マック (スコア:2, すばらしい洞察)
どっちかというとセキュリティセクションにすべきでは?
# rm -rf ./.
WIN版は「動かないこと」で対策済 (スコア:0)
Media Playerを使わなくても、MPEGムービーを再生するようなゲームをプレイしても同じ。Windows Media File DLLがメモリにロードされると何らかの競合が発生するようだ。もっともMedia Player 7/7.1/8では比較的発生しにくいような「感じ」がする。QuickTime開発において、Windows Media Fileのバージョンを決め打ちしちゃったのかもしれない。
広く認識されている事柄ではないので、A/C
Re:WIN版は「動かないこと」で対策済 (スコア:0)
動作しないかもしれないからクラックされないかもしれない
に修正希望。