パスワードを忘れた? アカウント作成
12752654 story
アップル

Windows版QuickTimeに2件の脆弱性、Appleは修正予定無しとしてアンインストールを推奨 66

ストーリー by hylom
さようならQT 部門より

Windows版QuickTimeに2件のゼロデイ脆弱性が確認された。開発元のAppleはこの脆弱性について修正する予定はないとし、アンインストールを推奨している(気になる、記になる…INTERNET Watch)。

問題の脆弱性は、ヒープバッファオーバーフローによって任意のコードが実行される可能性があるとうもの(JVNTA#92371676)。Windows版にのみ存在し、Mac OS X版にはこの脆弱性は存在しない。QuickTime for Windowsのサポートは終了しているというステータスであるため、対処方法はQuickTime for Windowsのアンインストールしかないようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Windows 版 Safari と同じ (スコア:4, すばらしい洞察)

    by caret (47533) on 2016年04月15日 18時07分 (#2998342) 日記
    INTERNET Watch によれば、

     Appleが「QuickTime for Windows」のサポートを終了したことが明らかになった。

    とのことで開発終了ということですが、アナウンスなしで突然開発終了したといえば、Safari for Windows もそうでした。
    アップルのこういうやり方は嫌い。やめるなら事前にやめますって言えばいいのに。

    • by Anonymous Coward on 2016年04月15日 18時15分 (#2998346)

      やめるなら事前にやめますって言えばいいのに。

      Apple、サポート終了計画の為、半年前の脆弱性を放置して形だけのQuickTime 7.7.9をリリース
      http://blog.livedoor.jp/blackwingcat/archives/1926528.html [livedoor.jp]

      親コメント
    • by Anonymous Coward on 2016年04月15日 20時46分 (#2998450)

      こんなサポートポリシーのメーカーの製品を行政が採用しようと考えるわけないよね

      親コメント
    • by Anonymous Coward on 2016年04月15日 22時38分 (#2998506)

      だって、サポート終了を前もって発表すると叩かれるじゃないですか。
      黙ってフェードアウトすればユーザーは安心したままでいてくれる。
      みんなハッピーな気分のままでいられるんです。

      素敵な事だと思いませんか?

      親コメント
      • きちんとフェードアウトし続けられているうちはね。
        失敗して大事になってしまうと、次からは「いつやめるかわからないから不安」感を与えるようになってしまい双方アンハッピー。
        やはり、いつやめるかはっきりさせておく、より進んで、現時点でやめるかは未定でもやめる場合はどのくらい前に発表するかをはっきりさせておく、
        そういう対応が良いと思います。

        親コメント
      • by Anonymous Coward

        クラッカー「せやな。」
        ボットネット「んだんだ。」

        # 「みんな」幸せ。

    • by Anonymous Coward

      TrendMicroがそう言ってるだけで、Appleの公式発表が見当たらんのよね。

      AppleSoftwareUpdateを起動すると、今でもQuickTime7.7.9が仲間になりたそうにこちらを見ているよ・・・。

      • CNET Japan [cnet.com] によれば、

         米CNETは、Appleにこの勧告についてコメントを求めているが、得られていない。

        あと、Rumors by ITmedia News [itmedia.co.jp] の記事が参考になりそうです。

        # たしか Safari の時も、アップルの公式発表なしで開発終了だったはず

        親コメント
      • by Anonymous Coward

        Zero Day Initiativeはその脆弱性を公開し、かつAppleがサポートしないと明言した。

        嘘であればAppleは反論する義務があるし、
        反論しないのであれば、公式に撃ち切ると言わなくても同じことでしょ。
        脆弱性があるまま使いたいんでなければ。

    • by Anonymous Coward

      Safari for Windowsについては修正予定なしとさえ言わなかったよ。OS Xの旧バージョンについても同様だし、むしろ修正しないと明言したことに驚いたぞ。

  • ん? (スコア:4, 参考になる)

    by Anonymous Coward on 2016年04月15日 18時34分 (#2998362)

    > ん?今のiTunes for WindowsってQuickTime要らないの?

    自分もこれ思った。

    > iTunes for Windowsは10.5からQuickTimeのプログラムが不要になり、同梱されなくなりました。

    ああだからアンインストールしても問題なくなったのか。

    • by Anonymous Coward

      どこにレスしてんの?

  • by kineko (38165) on 2016年04月15日 21時56分 (#2998486) 日記

    動画撮影するとmov形式になる一眼とかはどうすればいいの?

  • by Anonymous Coward on 2016年04月15日 18時25分 (#2998355)

    任意のコードが実行される可能性があるとうもの

  • by Anonymous Coward on 2016年04月15日 18時27分 (#2998357)

    なんで林檎信者はこーゆー時は
    ベンダーロックインがーって騒がないのかな?ww

    • by Anonymous Coward

      QuickTimeなんて誰も使ってないからだろ

    • by Anonymous Coward

      誰もつかってないアプリケーションにはだれもロックインされてないから。

  • by Anonymous Coward on 2016年04月15日 18時49分 (#2998375)

    ヒープはヒープでバッファはバッファだと思うんだが。

    • by Anonymous Coward on 2016年04月15日 23時51分 (#2998541)

      ヒープは名前でバッファは使い方という認識なんだけど合ってるかな。
      ヒープ領域だろうがスタック領域だろうが、バッファとして使うならどっちでも違いはない。
      今回のは「ヒープ領域をバッファに使ってるところでバッファオーバーフロー起こされる」という理解でいいのかな。

      親コメント
    • by Anonymous Coward

      ヒープはヒープでバッファはバッファだと思うんだが。

      ・・・・・・・。

      すげえな。
      スラドもここまで落ちたんだ。
      多分こいつ、某言語でいうところのヒープ領域と、データ構造のヒープの区別すらついてねえぞ。

      アルゴリズムの基礎の基礎なのにな・・・。
      ここまで無知な輩がドヤ顔でコメントするようになったんだな。

      // こいつはヒープソートを書けないに100000ペリカ

      • by Anonymous Coward on 2016年04月15日 21時50分 (#2998478)

        ドヤ顔のところ悪いけど、ソースのZero Day Initiatizeのページ [zerodayinitiative.com]を読む限り、これはヒープ領域の意味だよ。

        The specific flaw exists within the moov atom. By specifying an invalid value for a field within the moov atom, an attacker can write data outside of an allocated heap buffer. An attacker could leverage this to execute arbitrary code under the context of the QuickTime player.
        「攻撃者は、moov atomのあるフィールドに不正な値を指定することで、割り当てられたヒープバッファの外部にデータを書き込むことができる」

        元コメに対して言えば、heapに確保したbufferに対するoverflowと考えれば、
        heap buffer overflowと言っても別におかしい言い方でもないと思う。ググると、他にも多少は用例があるようだし。

        親コメント
    • by Anonymous Coward

      うん。だから合ってるだろ。
      ヒープ上のバッファオーバーフロー。

  • by Anonymous Coward on 2016年04月15日 18時52分 (#2998379)

    つか、今時WindowsでQuickTime使ってる人って、何で必要なの?
    別コメントによるとiTunesでも要らないようだし。

    • by iMyme (46636) on 2016年04月15日 19時07分 (#2998389) 日記

      Adobe After Effectsですかね。自分はCS5.5なので、今のCCでどうなってるかは知りませんが、インストールしないと起動時に怒られてmovファイルのインポートができないはず。

      # PixelBenderプラグインでどうしても外せないのがあって、CS6以降にアップデートできないんですよね……

      あとアルファチャンネル付きmovとかQTじゃないと再生できなかったりするので、そこら辺かな?

      親コメント
      • 最新の Adobe After Effects CC 2015.2 でも、起動時に

        QuickTime がシステムにインストールされていません。一部のコンポーネントは正常に機能しません。

        という警告が表示されます。

        親コメント
        • ああなるほど、やはりそうですか。情報提供ありがとうございます。
          ということはつまり、AEユーザーはもうどうしようもないということですね……。

          親コメント
          • by Anonymous Coward

            というか、商用アプリでMOVはどれもQuicktime依存でしょ。

            • by Anonymous Coward

              QuickTime入れてないけど、手元のMOVファイルはWindows Media Playerでも「映画 & テレビ」でも普通に再生できたぞ。拡張子が同じMOVでもコーデックは千差万別だから、もしかしたら再生できないのがあるのかもしれんが。

              • by Anonymous Coward on 2016年04月16日 0時06分 (#2998546)

                そのコーデックが問題なんだってば。
                映像系でProres対応は必須だし、そのためにQuicktime入れるなら
                独自でMOV対応する意味がない。

                親コメント
              • by Anonymous Coward

                最初からMOV対応なんで情報量ほとんどゼロのコメントじゃなくて「Apple ProResのコーデックがQuickTime用のものしかない」って言えばいいのに。

              • by Anonymous Coward

                え?馬鹿なの?

    • by Anonymous Coward on 2016年04月15日 19時04分 (#2998387)

      映像制作やってると必要。
      無くても代替はあるけど映像素材のほとんどはQuicktimeなんだよな。

      親コメント
    • by Anonymous Coward on 2016年04月15日 19時07分 (#2998388)

      そりゃラピッドストリームと併用でラスボス完封するに決まってるだろ

      親コメント
    • by Anonymous Coward

      未だにQuickTime必須なソフトをリリースしてるメーカーに言ってくれよ……

    • by Anonymous Coward

      Longman Dictionary of Contemporary English V4の辞書ソフトが、Quicktime必須だったかと。
      しかもパッチを当てないと動かない。
      http://www.pearsonlongman.com/dictionaries/support/ldoce-updated-suppo... [pearsonlongman.com]

      とっくに新しい版が出てたから、辞書を買い替えろって事かな。
      http://www. [amazon.co.jp]

    • by Anonymous Coward

      Unity(ゲームエンジンの方)で開発する際に、デフォルトのムービーシステムに
      ムービーファイルインポートする際にQuickTime for Windowsがないと使い物にならなかったような…

      こちらのドキュメント見る限り最新版でも事情は一緒のようで。
      「動画ファイルは Apple 社の QuickTime を介してインポートされます。」
      http://docs.unity3d.com/ja/current/Manual/class-MovieTexture.html [unity3d.com]

      • by Anonymous Coward

        Unityに関しては、割とすぐに自社かMSが代替品を用意してくれそうな気もする…。それか定石のOSSか。
        どちらにしろ、アップデート等の手間がかかりそう…。

  • by Anonymous Coward on 2016年04月15日 19時09分 (#2998395)

    金払ってライセンス購入したQuickTime Proユーザーにもサポート終了の連絡なしか

    • Re:QuickTime Proもか (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2016年04月15日 21時08分 (#2998462)

      Apple「え?まだWindows版使ってんの?Windows版が許されるのは学生までだよねー」

      親コメント
    • by Anonymous Coward on 2016年04月15日 23時01分 (#2998520)

      IEとかFxとか、メディアファイル(動画・音声)を保存する機能があった(今もあるけど)のに、QuickTime入れるとブラウザのメニューを上書きした挙げ句、メディアファイルの保存がしたけりゃPro版にしろ金払え、とぬかしてたからな。
      しかもアンインストール困難だった(レジストリ弄らないと消せないとか)

      ランサムウェアをやめたと思えば、Appleも多少は成長したと思えなくもない、かも。

      親コメント
  • by Anonymous Coward on 2016年04月15日 21時17分 (#2998466)

    さすがApple、すばらしい迅速な判断と行動だ
    こういうところを他社も見習うべき

    • by Anonymous Coward

      むしろ何も行動してないことからサポート切れが分かったんですが…

  • by Anonymous Coward on 2016年04月16日 4時14分 (#2998612)

    ペガシスの
    TMPGEnc MPEG Smart Renderer 4
    TMPGEnc Video Mastering Works 5
    TMPGEnc Authoring Works 5
    は非表示に出来ますが、起動時にQuickTimeねーよ!って怒られますね。
    恐らくmovインポートするのに必要なのでしょう。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...