Security Update 2007-001、QuickTimeの脆弱性を修正 8
ストーリー by Acanthopanax
残りもなるべくはやくね 部門より
残りもなるべくはやくね 部門より
Appleが日本時間今朝、Security Update 2007-001をリリースした(APPLE-SA-2007-01-23)。MOAB-01-01-2007で報告されたQuickTime 7.1.3のRTSP URLハンドラの脆弱性を修正する。Mac OS X用は、10.4.8用(Universal)と10.3.9用が用意されており、ソフトウェア・アップデートでも配布されている。Windows用もApple Software Updateを通じて配布される。
QTだけ? (スコア:0)
Re:QTだけ? (スコア:0)
ゼロデイ攻撃から長期間放置 (スコア:0, 参考になる)
AppleはMySpaceからお願いされた、この脆弱性修正をかたくなに拒否。
「脆弱性ではなく、正当な機能」とのたまってましたね。
結局被害が止まらないMySpaceのためだけに、MySpaceが配布する形で
パッチを出すなど、お世辞にも褒められた対応じゃありませんでした。
セキュリティに対する姿勢は、10年前のMS並ですね。
QuickTime はひどいですね (スコア:2, 参考になる)
Mac OS X 本体はそんなにひどいとは思いませんが、QuickTime に関しては同感です。そもそも QuickTime は脆弱性が見つかりすぎです。
# Flash も大概だとは思いますが;-)
Re:QuickTime はひどいですね (スコア:0)
Windowsと違ってセキュリティアップデートで問題が起きることも少ないですし。
MSは平気で2ヶ月後とか、全く放置とか、出しても問題が起きることが多過ぎます。
もう少しチェックを厳しく、セキュリティ対策は早くして欲しいというのは同意。
Re:QuickTime はひどいですね (スコア:0)
セキュリティアップデートだけでなくマイナーアップでも問題は結構起きているように感じます。(多くはドライバの不適合とか)
Re:ゼロデイ攻撃から長期間放置 (スコア:1, 参考になる)
そうなのか?
MySpaceのは、HREF track機能を使って悪意あるJavaScriptを実行させてたんであって、今回の(細工されたRTSP URLによるバッファオーバフロー)とは違うんでしょ?
もっとちゃんと書こうや。憎々しく書きたかったんだろうけどさw
Re:ゼロデイ攻撃? (スコア:0)
HREFトラック機能を実装したQuickTimeがリリースされてからのゼロデイ攻撃?
MySpaceができてからのゼロデイ攻撃?
ソースはどこでしょうか。