QuickTimeに新たな脆弱性 46
ストーリー by mhatta
注意一秒 部門より
注意一秒 部門より
Anonymous Coward曰く、
@ITの記事によると、QuickTimeに新たな脆弱性が報告された(US-CERTの情報)。脆弱性の実証コード(PoC)も公開されているとのこと。
脆弱性が存在するのはQuickTime 7.3.1.70以前のバージョンで、Windows、Macintoshの両方に影響がある。RTSP周りにバッファオーバーフローがあり、そこを突かれてDoS攻撃や任意のコードを実行される恐れがあるそうだ。Appleからの修正パッチはまだ提供されていないようである。なお、QuickTimeに関しては12月にも脆弱性が指摘され、修正バージョンが公開されたばかりだった。
12月にも脆弱性 (スコア:1, 参考になる)
http://srad.jp/security/article.pl?sid=07/12/14/0342258 [srad.jp]
修正も遅いし未だにApple Software Updateのソフトウェア更新に引っかからないので、もうFirefoxの関連づけでQT関係を全部ファイル保存に変更してます。
# QTが無くても、ようつべとニコニコは観られますので私はこれで十分。
Re: (スコア:0)
Re: (スコア:0)
あれ?昼過ぎくらいにアップデートしてくださいみたいなポップアップでたけど、それは関係ないのかな?
「iTunes+QuickTime」になっていなのでキャンセルしたけど。
iTunesをわざわざアンインストールしたのに何でiTunesまで入れさせようとするかな。
#そのせいでこの度にアポーに悪印象が(ry
Re: (スコア:0)
自分の好きなものをけなされて感情的になるのはわかるが、もうちょい読解力を磨いたほうがいいと思うぞ。
Re: (スコア:0)
Re: (スコア:0)
しかも最新版以外にシステムを乗っ取ることが可能らしい。
ちゃんとアップデートしましたか?
Re: (スコア:0)
自分が動画を観るのに必須でないもの(QT)を使わないのは、当たり前のことだと思いますよ。
Macもそろそろ危険? (スコア:1, 参考になる)
単純にWindowsとMacOSのOSだけを比べれば、Macのほうが安全なのかもしれない。
でも、アプリを含めて考えると、MacOSもさほど安全とは言えない気がする。
Mac使いの人も、そろそろ、アンチウィルスソフトが必須なのでは?
Re:Macもそろそろ危険? (スコア:4, 参考になる)
dashboard出始めの頃のエクスプロイト確認して、その手軽さに
つい何か作ろうかとぞっとしたものです。Appleの対応は、10.5では「信頼出来ないURLからのダウンロードファイルはマークアップしてユーザに確実に確認する」ようなスタイルになってます。
順当だけど、最大のセキュリティホールはやっぱり人間なのよね。。
本家がウィルス大丈夫とか安易に宣伝するのは困りもの。
一応周囲のMacユーザには、ClamAVのOSX実装ClamXAV [clamxav.com]のインストールくらいは強く推す事にしてます。フリーだから手軽に入れさせられるので。今だともっと良い選択肢もあるのかな。
しかしウィルス対策ソフトを過信するのも問題だろうなぁ。
危険性を感じるURL踏むときには
仮想環境経由しろとか実験用マシンを分けて繋げとかTOR越しで繋げとかそもそもアクセスしないのが一番ではありますが、難しいもんですね。Re:Macもそろそろ危険? (スコア:3, 参考になる)
Macだから安心っていうのは既に都市伝説でしょう。
windowsでもadministrator権限のユーザーでは無く、ちゃんと一般ユーザーで
使っていれば比較的安全だけどwindowsだと、かなり使い方が制限されます。
windowsとmacの違いって一般ユーザー権限での使いやすさだけに思えます。
Re:Macもそろそろ危険? (スコア:2, すばらしい洞察)
WindowsはVistaで導入されたUACを無効化する方法がTipとして色んなところで紹介されている辺り(勿論リスクを警告をしているサイトが多いですが)、まだ一般ユーザにおける使い勝手が悪い印象です(必要以上の権限を要求する行儀の悪いアプリがあるのも一因)。 そして人は、一端快適な環境に慣れてしまうと、そこにセキュリティ・リスクが潜在していてもなかなか元に戻そうとしないものです。
#こなれてくれば使いやすくなると楽観視してますが
Re: (スコア:0)
その根拠は何だろう?
っていうか、言いたいのが「Windowsに比べて」ではなく「未来永劫絶対
に感染しない」という話なら今も昔もそんな伝説は無いと思うけど。
比較論の話なら、現実にWindowsには数十万匹のウィルスがいて、Macには
いないわけで、どっちが安全かは誰でも分かる話だよね。
Re: (スコア:0, すばらしい洞察)
> Macにはいないわけで、どっちが安全かは誰でも分かる話だよね。
いいえ、解りません。
累計がどんなに大きかろうと重要なのは数ではなく、どれだけ接触する機会があるかですよね。
それが特定の脆弱性を狙うならその脆弱性を持ったOS/アプリケーションかどうかも影響します。
正直、今現時点のMacOS X環境はある日突然Nimdaの様な物が現れてもおかしくない状況下なのになにを暢気なって感じだと思います。
アレはIE+ActiveX周りでしたが、QTで表示されただけで感染可能って同じぐらいの危険度ですよ?
しかもSafari、Firefoxといったブラウザと無関係に感染するわけで。
少なくとも動画(QT)が落とせるとかいう売りの海外エロサイトとかには近寄らないのが賢明でしょうね。
最近のWebサーバーも硬いのが多いから乗っ取りはあまり心配しなくても良いですが、ある日牙を剥く可能性も有ります。
Re: (スコア:0)
の脆弱性を突く等の複合的な手法を使って大量感染したウィルスだ
よね?
クライアントOSのアプリケーションの脆弱性のみを対象としたものじゃ
無かったと思うけど。
VBAも無いし、常時起動している訳でもないPCにどうしてNimdaのよう
なのが出てくるのか分からないんだけど解説してくれますか?
後、「累計がどんなに大きかろうと重要なのは数ではなく、」の後の文
章がほとんど意味が分からないので、こちらも解説お願いします。
MacOSXはウィルスに接触しやすいと言っているのかな?
ウィルスはいないと言われているのに、Windowsよりウィルスに接触
しやすいのは何故だろう...?
Re:Macもそろそろ危険? (スコア:1, 興味深い)
>「累計がどんなに大きかろうと重要なのは数ではなく、」
俺が感染したら大変だってことでしょう。WWWなら複数のブラウザやOSに対応した攻撃でウイルスを落とすことも可能(脆弱性があれば)
別に脆弱性持ったサーバーやCGIを稼動してるMac OSX鯖もあるだろうし、24時間稼動のPCだっていくらかあるでしょ
まあ、Mac OSX一強時代でもない限り、Mac OSXだけを標的にしたウイルスじゃなくて、
Windows、Mac OSX、Linux対応のウイルスの方が、大流行させるにはちょうどいいのだろうけど
Re: (スコア:0)
そうなんですかね?
話は
>> Macにはいないわけで、どっちが安全かは誰でも分かる話だよね。
>いいえ、解りません。
で始まっているので、親コメントの人はMacの方が危険な場合もある、という主張に
つながる話をしたいんだと受け止めるのが自然じゃないかと思うんですが、突然俺様
の話になっちゃったんですかね?
まあ、親コメントの人の話はよく解りません。
ところで、複数のOSに対応したウィルスを作るのって難しそうですよね。
さすがにバッファオーバーフローの脆弱性を使っても、OS毎に流し込むべきコードが
違うので、複数のバイナ
Re: (スコア:0)
いうファクターは外せないと思うんですが...
Nimdaはそのずば抜けた繁殖力で大規模な被害をもたらしたのですよね?
QTでストリーミングムービーを再生した時に感染するウィルスならサ
ーバ間やクライアント間の感染が無いから繁殖力は弱そう。
大体、ムービーを媒体にするという時点でほとんど繁殖力は無い気
がするんですが...?
別に、だからMacは安全だなどと言ってるわけじゃありませんが、
Nimdaを繁殖させたWindowsにはとてもかなわないんじゃ無いかと。
今回の脆弱性の繁殖力 (スコア:1)
>繁殖力は無い気がするんですが...?
同意見です。
ちなみにSecunia アドバイザリApple QuickTime RTSP Reply Reason-Phrase Buffer Overflow [secunia.com]によれば、
『リモートからコード実行を成功させるには、ユーザーが悪意あるサイトを訪れて、悪意あるQTLファイルをオープンするよう騙す必要がある』てな感じですかね。悪意あるサイトを訪問した途端QuickTimeが起動してコードを実行する類ではありません。そのため現時点でパッチ未提供デモコード公開中とはいえ、攻撃が確認されていないので深刻度も5段階の4(Highly Critical)に留まっています。
それで確かに放っておくことのできない脆弱性ですが、Nimdaを引き合いにして論じるのはおかしくないですかね。というのもNimda [wikipedia.org]が広まった一因には、メールをプレビューしただけで感染しちゃう [nikkeibp.co.jp]なんていうOutlook Expressの仕様も災いしたわけですし。
どうせ比較するなら、悪意あるサイトを訪れただけでシステムアクセスを許したInternet Explorer 6 [secunia.com]なんかの脆弱性を挙げると良いと思います。
【結論】Windows XP SP1以前のMS製アプリの脆弱性と比べたら、今回の脆弱性はまだまだカワイイ悪さ
P.S. 「まだ攻撃されたことがないから安全だ」という趣旨のコメントを見かけますが、そういう人たちは「泥棒に入られたことがないから安全だ」と家や車に鍵をかけないなんてことをしたりするのですかね?危険を見越して有効な対策をとるのが普通であり、アレゲサイトに集う方なら尚更そうすると思いますけど。
Mac OS Xはマイナーで特殊だと信じてらっしゃるのかしら(w
# OS/2はいいんですよ
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
opening a malicious QTL file or visiting a malicious web site ですよね。.qtl にアクセスさせる「か」Web サイトにアクセスさせる、じゃないんでしょうか。
これだと、spam に引っかかるような
バカ単純な人とか、分かった上で試しに見てみるか、とアクセスした人でも引っかかる事になると思うのですが。Re: (スコア:0)
>車に鍵をかけないなんてことをしたりするのですかね?
「ウチの県で泥棒が出たなんて聞いた事も無い」なら家や車に鍵を
かけないかも知れませんね。
昔はそれに近い時代もあったかと。
Re:今回の脆弱性の繁殖力 (スコア:1)
悪意あるリンクをクリックすれば可能性はありますね。
>spam に引っかかるようなバカ 単純な人とか、
>分かった上で試しに見てみるか、とアクセスした人
しか引っかからないから、引き合いに出されているNimdaよりははるかに繁殖力は低いというわけです。試しにアクセスしたい人とか、spamに引っかかる人というのは、QTの脆弱性以前の問題でしょ。
昔から特定のソフト(IE6やWinAMP)を狙った悪意あるサイトは存在していますから、これだけユーザーが多いQuickTimeを狙うサイトがあっても不思議ではないです。
# 昔PoCを見ながらFirefoxのユーザー設定を変えるデモページを作ってもじら組フォーラムに投稿したことがあるID
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
> これだけユーザーが多いQuickTimeを狙うサイトがあっても不思議ではないです。
以前からユーザ数も多く、脆弱性も非常に多いQuickTimeを狙う攻撃は存在しています。
最近で有名なのは、MySpaceというSNSを使った攻撃ですね。
これはかなり大きな被害を出しましたが、Appleの対応がお世辞にも良いとはいえず、
これによって、個人的にはQuickTimeは使ってはいけないソフトNo.1になったと言って
過言ではありません。
現在のAppleという会社がもつセキュリティの意識度は、数年前のMS並みと言って
いいでしょう。
Re: (スコア:0)
・それか悪用された少数の実績がある
脆弱性があってはいけないのは当然として、(いちいちこれを言わないと「Macユ
ーザーは脆弱性はあってもいいと言っている」とか話をすり替えられるからなあ...
なんででたらめなアンチApple活動に反論したくらいでMacユーザー認定されるか
すら分からんが)
これだけ少数の事実をもとにAplle製品が危険だと素人さんに印象づけようと頑張
ってますが、
>「非常に多い」「大きな被害」
数は言えませんよね。Windowsで日々発生する被害数から比べれば微々たるもの。
>現在のAppleという会社がもつセキュリテ
Re: (スコア:0)
> いないわけで、どっちが安全かは誰でも分かる話だよね。
すまんが、その根拠を示し願いたい。
特に「Macには~」のくだり。
Re:Macもそろそろ危険? (スコア:1, おもしろおかしい)
Re:Macもそろそろ危険? (スコア:2, 興味深い)
あり得ないという訳では無いですね。
昔、Mac用のフリーのDesinfectantというウィルスチェックソフトがあって、
これがMS-Officeのマクロウィルスのあまりの多さに対応できないという理
由で開発をやめてしまった訳だけど、逆にMS-Officeのようなウィルス繁殖
機能を持った特定のアプリには対応しない、という前提で設計された軽いウ
ィルスチェッカがあると便利かな、とは常々思いますね。
Re:Macもそろそろ危険? (スコア:1, おもしろおかしい)
身近な初心者Windowsユーザーのほとんどがウイルス対策ソフトを入れてなかったりとか、タレントのしょこたんがトロイの木馬に感染したとブログで書いていて「このまま使っていて大丈夫かな?」とか言ってる怖い環境のプラットフォームよりは比べ物にならないくらい安全だと感じます。
ウイルス対策とか脆弱性対策とかはOSレベルでやるべきで、未だにサードパーティに依存してる環境が信じられないです。
Quicktimeの脆弱性といっても、まだまだ安心出来るレベルな感じがします。
Re: (スコア:0)
Re: (スコア:0)
腐れマカーにとっては触れちゃいけない逆鱗だった?
Re: (スコア:0)
ユーザーに実行権限をつけるとか、マクロでメールを送るような危険な実装を
しないとか、PCにログインするマスターパスワードを一回入力しただけでいくら
でも共有サーバにどんどんアクセスできてしまう仕様をやめろとか、そういうこ
とじゃないの?
後はWindowsにウィルスチェッカをプリインストールするとか。
当然、「技術力の無い」 [nikkeibp.co.jp]MSが
Re: (スコア:0)
> しないとか、PCにログインするマスターパスワードを一回入力しただけでいくら
> でも共有サーバにどんどんアクセスできてしまう仕様をやめろとか、そういうこ
> とじゃないの?
コメントを読むと素人に毛が生えたようなことしか答えてないですが、
MacOSXのほうがメールを大量に送れるようなスクリプトを簡単に作れそうだし、
ユーザに実行権限を付けているのはMacでも同じだし(たぶん制限を付けている、
とかいう意味だろうけど、それでも同じ)、共有サーバにどんどんアクセスできる
というのはWindowsの仕様ではなくて共有サーバのセキュリティの設定次第だし、
「何言ってんの?」としか言えないコメントですね。
とりあえず、Windowsの脆弱性は数年前の古いものを取り上げるくせに、
MacOSXは現在の最新のもので比較しようとするズルイやり方はダメよ。
被害が出るまでは危険じゃないという安全は存在しない。
Re: (スコア:0)
OSレベルのウィルス対策って何?と本気で分かっていない人から質問されたので
分かりやすいものを答えただけでしょ?
それが既に実装されていて、効果があるならなおさら分かりやすい。
それの何がズルいんだ?
Re: (スコア:0)
そう思った理由は何でしょうか?
#Windsowsの最新バージョンとMacの妄想バージョンを比較しようとする以下略
比較的早い対応 (スコア:1)
@ITの元記事とほとんど一緒です (スコア:0)
おおもとの情報ソースを参考にするか、無理なら
せめてblockquoteにするべきだったのではないでしょうか?
US-CERTの情報 (スコア:0)
Referencesに並んでるこいつhttp://www.milw0rm.com/exploits/4885 [milw0rm.com]か?
# Mac版で7.3.1.70以前とか言われてもよ〜わからん。試してみようにもWin版の手順しかなくてこれまたよ〜わからんorz
Re: (スコア:0)
失敬、とりあえず試せました。結果は???ですが。
QT Playerのメッセージ(ncなしの時とメッセージ自体は変わらず):
A network error has occurred
This computer's Internet connection appears to be online. (-66559)
これを機に (スコア:0)
#↓のマッハ号トレーラーを見にいって、燦然と輝く"mov"に脱力
QuickTimeをインストールせずに (スコア:0)
QTをインストールせずにiTunesを使えるようにすべきだろ。
もうQTなんか使うのはやめよう (スコア:0)
禁句:もっと悪い
#つーかなんでこいつらはこんだけ評判悪くても
#システムに復元困難な手を加えようとするんだろうか?
Re: (スコア:0)
巣の中での声はでかく聞こえるかもしれないが外界には届いてない。
Re:もうQTなんか使うのはやめよう (スコア:1)
お行儀の悪い所はあるけど、WindowsMediaPlayerの使い勝手の悪さに比べたら私はQTの方が好き。
# てれっててれっててー --- macohime(#cpdz)
念のためー。 (スコア:1)
全般的に使えないとか、WMPが糞だとか、そういう事じゃないですー。
# てれっててれっててー --- macohime(#cpdz)