QuickTimeのJava処理に脆弱性 52
ストーリー by Acanthopanax
QuickTimeはいろいろある 部門より
QuickTimeはいろいろある 部門より
QuickTimeのJava処理に脆弱性のあることが公表された(Matasano Chargenブログ記事)。Secuniaのセキュリティ勧告では、この脆弱性の危険性は5段階評価で上から2番目の“Highly critical”となっている。悪意あるウェブサイトを閲覧することにより任意コードを実行される恐れがあるという。問題が確認されたのは、Mac OS X上のQuickTimeと、SafariまたはFirefoxとの組み合わせだが、他のプラットフォーム(Windows)およびブラウザでも影響を受ける可能性があるとのこと。現状での対策は、ブラウザでJavaを切っておくこと、信頼できないウェブサイトを閲覧しないこと、とされている。
QuickTimeはもうちょっと控えめに (スコア:4, 興味深い)
明示的に関連付けを変更したはずなのに、いつの間にかいろんな拡張子が再度QuickTimeに関連付けられていたりすることも。
やたらいろんなところにでしゃばてくるRealPlayerほどじゃないけど、もうちょっと控えめにしてくれれば良いのになぁ、と思います。
屍体メモ [windy.cx]
Re:QuickTimeはもうちょっと控えめに (スコア:1, 興味深い)
Re:QuickTimeはもうちょっと控えめに (スコア:1, 興味深い)
いつまでたっても修正されないそうしたマルウェア的な振る舞いは戦略のひとつなんじゃないかとすら思いますね。
QuickTime Alternativeだと変な常駐ソフトなどの不要コンポーネントは確かにインストールされないんですが、プラグイン関連付けのお行儀の悪さなど、必要コンポーネントが持つ不具合はそのまま受け継がれてるのが難点。
すばらしい対策ですね(ぼうよみ (スコア:3, すばらしい洞察)
できていれば、万全ですね。
それよりも、QTをアンインストールすることって方がお勧めできると思う。
Re:すばらしい対策ですね(ぼうよみ (スコア:1, すばらしい洞察)
IEの場合はIEを捨ててFirefoxを使う、と書かれる点も含めて説明請う。
Re:すばらしい対策ですね(ぼうよみ (スコア:1)
QuickTimePlayerを使わないように心がけるくらいならともかく、
QuickTimeそのものをアンインストールすることは不可能だからです。
Windowsを使っている方なら、QuickTimeを捨てることが、
根本的な解決になると思います。
#iTunes+iPodが動かなくなるかもしれませんが。
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
MicrosoftはWindowsのIEに関してまさにそう主張してるはずですが、「IEを捨てる」はなぜ選択肢になるのでしょうか。
Re:すばらしい対策ですね(ぼうよみ (スコア:1)
シェルとしてのエクスプローラがWindowsのコア技術であり、
それがIEと密接な関係にあるというのはまさにその通りと認識していますが、
それを必ずWebブラウザとして使わなければ不都合があるようなものではないですよね。
現実にFirefoxなどの代替Webブラウザがあって、ユーザにはそれを選択できる自由があります。
それが「IEを捨てる」という選択肢かと思います。
IE不要論者にしてもエクスプローラまで使うなと言っているわけではないと思います。
#もしそうなら、対抗馬としてFirefoxの名前が挙がることはないはずです。
Mac OS XにおけるQuickTimeはグラフィックコンポーネントであって、QuickTime Playerのみを指すわけではありません。
一般的なWindowsユーザーがエクスプローラをシェルとして使わざるを得ないように、
Macユーザーは「QuickTimeを捨てる」という選択肢を事実上採れないのだということを書きたかっただけです。
QuickTime Playerを捨てることならMacでも実現可能です。
#蛇足ながら、別にAppleを擁護しているわけではないです。上のような事情があるので、むしろさっさと対応してほしい。
Re:すばらしい対策ですね(ぼうよみ (スコア:1)
「Windows Media Player」は捨てられるても、「DirectX」は捨てられない
と言うのが、MacOSとQuickTimeの関係に近いと思います。
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
やりなおし。
Re:すばらしい対策ですね(ぼうよみ (スコア:1)
5年前ならともかく、携帯オーディオ機器のデファクトスタンダードがiPodになったいま、その選択肢の選択は困難かと。
「Windowsを使わない」「MS-Officeを使わない」といったオプションの選択が、不可能ではないにせよ、困難であるように。
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
# QTが一瞬Qtに見えた
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
別に信者ではないので、iPodでなければならない理由がわからない。
AppleがiPodにウィルスを入れて売ろうとも、iPod使ってなければ
影響はないよね。
iTunesもQuickTimeも、脆弱性が多すぎるよ。
Safariも未パッチの脆弱性があるし、アップルのソフトの品質は
高くないと思う。て言うか低い。
たしかにクールにみえる製品を作るのには長けてるけどさ。
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
アンタが使わないのは勝手だがね
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
そんで、デファクトスタンダードだったら何?
捨てられない理由になりそう?
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
巣に帰んな
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
iPod以外にも豊富なコンテンツの供給を受けられるプラットフォームがある。
音楽コンテンツがiTMS独占なんて状況にはないわけで。
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
悪用されているWindows自体をアンインストールした方がいいのでは?
Re:すばらしい対策ですね(ぼうよみ (スコア:4, すばらしい洞察)
「いつも大きなセキュリティホールがあって」なんていうデタラメを
書いて、Windows批判に転嫁しようとしても無駄です。
セキュリティホールに対するAppleの対応は悪すぎです。
Symantecの調査レポート [cnet.com]が参考になります。
2006年後半のセキュリティホールの発見数と、平均パッチ開発期間は、
Windowsが39個で21日、
RedHat Linuxが208個で58日、
Mac OS Xが43個で66日。
Appleの脆弱性に対する対応は、MSの3倍以上もかかっています。
Appleの場合、信者ともいわれるユーザの存在が、Appleを甘やかして
いると考えられます。
質の悪い製品を売り、質の悪いサポートでも、ユーザは怒らない。
支持してくれる。
だから、そんなに急いだり、しっかり作らなくてもいいと。
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
セキュリティホールは、深刻さにより優先度が変わるものであり、
Mac OS Xでは深刻なものは非常に少ない上、セキュリティパッチは
質が問われるもので早く出せば良いというのは的外れです。悪用され
ていないものやほとんど影響の無いものが後回しにされるのは当然です。
確実な方が優先されます。それに対して、Windowsの場合は悪用されて
から出すという後手に回っている上に、セキュリティパッチの質が悪い
ことが多いので、出ても充てない人が多いという矛盾が生じています。
利用率が低いという意味では放
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
Re:すばらしい対策ですね(ぼうよみ (スコア:0)
悪用されました。 (スコア:0)
Googleのスポンサーリンクは、信頼できるわけではないということと、
Appleの製品の欠陥による実際の被害が出ていることに注意です。
おそらく実際の被害を受けるのはWindowsユーザだと思われるため、
Appleがどれくらいの誠意を示して何日くらいで対応するのか
注目したいところ。
Re:悪用されました。 (スコア:0)
来月初旬には出るでしょう。
もうAppletは廃止でいいよ (スコア:2)
未だにVM起動時にはブラウザを固まらせるし、機能も限られているし、役に立ちません。
Re:もうAppleは廃止でいいよ (スコア:4, おもしろおかしい)
と読んでびっくり...。
Re:もうAppleは廃止でいいよ (スコア:0)
Re:もうAppletは廃止でいいよ (スコア:0)
# 一太郎みたく地味に生き残ると思う
Javaのバージョン縛りの不統一 (スコア:1)
屍体メモ [windy.cx]
Re:Javaのバージョン縛りの不統一 (スコア:0)
全部のバージョン入れれば? 特定バージョンを要求するのに利用者に特定バージョンだけをインストールさせてプログラム側でバージョン指定しないのは単なる手抜きです。
最新版でも動くように作れという主張と違って、すべてのバージョンで動作保証ができないという逃げ口上も使えません。むしろ、だったら動作保証しているバージョンを明示的に要求するようプログラム側で処理しないのは何で? となります。
Re:Javaのバージョン縛りの不統一 (スコア:0)
チネ
Re:Javaのバージョン縛りの不統一 (スコア:0)
指定のバージョンでアプレットを動作させることが出来ますよ。
Javaに限らず、.net 2.0では動作せず、.net 1.1でないと動かない.netアプリがあったりと、
何時になっても下位互換性の問題は解決されないですね。
アプリ毎に指定するバージョンのランタイムをインストールする解決方法は、
ユーザからしてみれば非常に面倒です。
Re:Javaのバージョン縛りの不統一 (スコア:0)
例えば、1.4.2と1.5.0と6.0がインストールされた環境で、アプレットを1.4.2で動かせるってこと?
PowerChute Business EditionのWebインタフェースが1.4.2指定で(ry
#とりあえずAC
Re:Javaのバージョン縛りの不統一 (スコア:0)
Re:もうAppletは廃止でいいよ (スコア:0)
社内用リッチクライアント用途にアプレットは今でも有用だし。
Re:もうAppletは廃止でいいよ (スコア:0)
Re:もうAppletは廃止でいいよ (スコア:0)
個人的にはJavaよりも、商用実装の塊っぽいFlashの方が困る。
# 一応AC
必死なのはわかるがw (スコア:0)
MacでのQuickTimeってMediaPlayerだから不必要にはならないだよね
flvを単独で再生際も使うしな
#未だにWindowsの奇妙なバグの方が脅威だと思っている。
Re:必死なのはわかるがw、…やっぱわからんw (スコア:0)
Re:CM... (スコア:0)
Re:おおげさすぎ (スコア:0, 荒らし)
| ノ\ ヽ |
/ ●゛ ● | |
| ∪ ( _●_) ミ j
彡、 |∪| | J
/ ∩ノ ⊃ ヽ
( \ / _ノ | |
.\ “ /__| |
\ /___ /
Re:おおげさすぎ (スコア:0)
Re:おおげさすぎ (スコア:0)
問題はMacだけに限らず、Windowsにも影響します。
せっかくWindowsやIEが改良に改良を重ねて堅牢になってきたのに、
まるでQuickTimeがBackdoorのように機能してくれるので被害が
多数出るんですよね。
「Windowsがウィルスに脆弱であることに驚きだ」
なんていえませんよね。
「われわれの仕掛けたバックドアを防ぎきれないのは驚きだ」
ぐらいでいいと思う。
Macだけの脆弱性といえば、Safariの脆弱性でしょう。
Re:おおげさすぎ (スコア:0)
それでも堅牢になってきたというIE よりもずっと安全ですね。
これまで一度も被害が広がった事実は無いのですから。