Windows版QuickTimeに2件の脆弱性、Appleは修正予定無しとしてアンインストールを推奨 66
ストーリー by hylom
さようならQT 部門より
さようならQT 部門より
Windows版QuickTimeに2件のゼロデイ脆弱性が確認された。開発元のAppleはこの脆弱性について修正する予定はないとし、アンインストールを推奨している(気になる、記になる…、INTERNET Watch)。
問題の脆弱性は、ヒープバッファオーバーフローによって任意のコードが実行される可能性があるとうもの(JVNTA#92371676)。Windows版にのみ存在し、Mac OS X版にはこの脆弱性は存在しない。QuickTime for Windowsのサポートは終了しているというステータスであるため、対処方法はQuickTime for Windowsのアンインストールしかないようだ。
Windows 版 Safari と同じ (スコア:4, すばらしい洞察)
Appleが「QuickTime for Windows」のサポートを終了したことが明らかになった。
とのことで開発終了ということですが、アナウンスなしで突然開発終了したといえば、Safari for Windows もそうでした。
アップルのこういうやり方は嫌い。やめるなら事前にやめますって言えばいいのに。
Re:Windows 版 Safari と同じ (スコア:3, 参考になる)
やめるなら事前にやめますって言えばいいのに。
Apple、サポート終了計画の為、半年前の脆弱性を放置して形だけのQuickTime 7.7.9をリリース
http://blog.livedoor.jp/blackwingcat/archives/1926528.html [livedoor.jp]
Re:Windows 版 Safari と同じ (スコア:1)
こんなサポートポリシーのメーカーの製品を行政が採用しようと考えるわけないよね
黙っていればユーザーから叩かれない (スコア:1)
だって、サポート終了を前もって発表すると叩かれるじゃないですか。
黙ってフェードアウトすればユーザーは安心したままでいてくれる。
みんなハッピーな気分のままでいられるんです。
素敵な事だと思いませんか?
Re:黙っていればユーザーから叩かれない (スコア:1)
きちんとフェードアウトし続けられているうちはね。
失敗して大事になってしまうと、次からは「いつやめるかわからないから不安」感を与えるようになってしまい双方アンハッピー。
やはり、いつやめるかはっきりさせておく、より進んで、現時点でやめるかは未定でもやめる場合はどのくらい前に発表するかをはっきりさせておく、
そういう対応が良いと思います。
Re: (スコア:0)
クラッカー「せやな。」
ボットネット「んだんだ。」
# 「みんな」幸せ。
Re: (スコア:0)
TrendMicroがそう言ってるだけで、Appleの公式発表が見当たらんのよね。
AppleSoftwareUpdateを起動すると、今でもQuickTime7.7.9が仲間になりたそうにこちらを見ているよ・・・。
Re:Windows 版 Safari と同じ (スコア:1)
米CNETは、Appleにこの勧告についてコメントを求めているが、得られていない。
あと、Rumors by ITmedia News [itmedia.co.jp] の記事が参考になりそうです。
# たしか Safari の時も、アップルの公式発表なしで開発終了だったはず
Re: (スコア:0)
Zero Day Initiativeはその脆弱性を公開し、かつAppleがサポートしないと明言した。
嘘であればAppleは反論する義務があるし、
反論しないのであれば、公式に撃ち切ると言わなくても同じことでしょ。
脆弱性があるまま使いたいんでなければ。
Re: (スコア:0)
Safari for Windowsについては修正予定なしとさえ言わなかったよ。OS Xの旧バージョンについても同様だし、むしろ修正しないと明言したことに驚いたぞ。
ん? (スコア:4, 参考になる)
> ん?今のiTunes for WindowsってQuickTime要らないの?
自分もこれ思った。
> iTunes for Windowsは10.5からQuickTimeのプログラムが不要になり、同梱されなくなりました。
ああだからアンインストールしても問題なくなったのか。
Re: (スコア:0)
どこにレスしてんの?
これって (スコア:2)
動画撮影するとmov形式になる一眼とかはどうすればいいの?
Re: (スコア:0)
VLC
脱字(オフトピ) (スコア:0)
毎度恒例の二重基準 (スコア:0)
なんで林檎信者はこーゆー時は
ベンダーロックインがーって騒がないのかな?ww
Re: (スコア:0)
QuickTimeなんて誰も使ってないからだろ
Re: (スコア:0)
誰もつかってないアプリケーションにはだれもロックインされてないから。
Re: (スコア:0)
アップデートの度に要求され
Re: (スコア:0)
毎度は要求されないよ。
一度チェック外せば次のアップデートでも外れたまま。
#Adobeのマカフィーとは違ってね・・・
Re: (スコア:0)
林檎信者というのは言い過ぎ(若しくは中傷)かも知れないけど、ベンダーロックインだから起きた問題 [apple.srad.jp]だってのはあるかも。オープンソースなら有志が引き継ぐなりForkして代替品を出すなりできるんだし。
ヒープバッファオーバーフロー? (スコア:0)
ヒープはヒープでバッファはバッファだと思うんだが。
Re:ヒープバッファオーバーフロー? (スコア:2, 興味深い)
ヒープは名前でバッファは使い方という認識なんだけど合ってるかな。
ヒープ領域だろうがスタック領域だろうが、バッファとして使うならどっちでも違いはない。
今回のは「ヒープ領域をバッファに使ってるところでバッファオーバーフロー起こされる」という理解でいいのかな。
Re: (スコア:0)
ヒープはヒープでバッファはバッファだと思うんだが。
・・・・・・・。
すげえな。
スラドもここまで落ちたんだ。
多分こいつ、某言語でいうところのヒープ領域と、データ構造のヒープの区別すらついてねえぞ。
アルゴリズムの基礎の基礎なのにな・・・。
ここまで無知な輩がドヤ顔でコメントするようになったんだな。
// こいつはヒープソートを書けないに100000ペリカ
Re:ヒープバッファオーバーフロー? (スコア:2, 参考になる)
ドヤ顔のところ悪いけど、ソースのZero Day Initiatizeのページ [zerodayinitiative.com]を読む限り、これはヒープ領域の意味だよ。
The specific flaw exists within the moov atom. By specifying an invalid value for a field within the moov atom, an attacker can write data outside of an allocated heap buffer. An attacker could leverage this to execute arbitrary code under the context of the QuickTime player.
「攻撃者は、moov atomのあるフィールドに不正な値を指定することで、割り当てられたヒープバッファの外部にデータを書き込むことができる」
元コメに対して言えば、heapに確保したbufferに対するoverflowと考えれば、
heap buffer overflowと言っても別におかしい言い方でもないと思う。ググると、他にも多少は用例があるようだし。
Re: (スコア:0)
うん。だから合ってるだろ。
ヒープ上のバッファオーバーフロー。
QuickTimeって何に使うのん? (スコア:0)
つか、今時WindowsでQuickTime使ってる人って、何で必要なの?
別コメントによるとiTunesでも要らないようだし。
Re:QuickTimeって何に使うのん? (スコア:3, 興味深い)
Adobe After Effectsですかね。自分はCS5.5なので、今のCCでどうなってるかは知りませんが、インストールしないと起動時に怒られてmovファイルのインポートができないはず。
# PixelBenderプラグインでどうしても外せないのがあって、CS6以降にアップデートできないんですよね……
あとアルファチャンネル付きmovとかQTじゃないと再生できなかったりするので、そこら辺かな?
Re:QuickTimeって何に使うのん? (スコア:1)
QuickTime がシステムにインストールされていません。一部のコンポーネントは正常に機能しません。
という警告が表示されます。
Re:QuickTimeって何に使うのん? (スコア:1)
ああなるほど、やはりそうですか。情報提供ありがとうございます。
ということはつまり、AEユーザーはもうどうしようもないということですね……。
Re: (スコア:0)
というか、商用アプリでMOVはどれもQuicktime依存でしょ。
Re: (スコア:0)
QuickTime入れてないけど、手元のMOVファイルはWindows Media Playerでも「映画 & テレビ」でも普通に再生できたぞ。拡張子が同じMOVでもコーデックは千差万別だから、もしかしたら再生できないのがあるのかもしれんが。
Re:QuickTimeって何に使うのん? (スコア:1)
そのコーデックが問題なんだってば。
映像系でProres対応は必須だし、そのためにQuicktime入れるなら
独自でMOV対応する意味がない。
Re: (スコア:0)
最初からMOV対応なんで情報量ほとんどゼロのコメントじゃなくて「Apple ProResのコーデックがQuickTime用のものしかない」って言えばいいのに。
Re: (スコア:0)
え?馬鹿なの?
Re:QuickTimeって何に使うのん? (スコア:2, 興味深い)
映像制作やってると必要。
無くても代替はあるけど映像素材のほとんどはQuicktimeなんだよな。
Re:QuickTimeって何に使うのん? (スコア:1)
そりゃラピッドストリームと併用でラスボス完封するに決まってるだろ
そしてシャドサーに線斬りですね (スコア:0)
わかります
Re: (スコア:0)
未だにQuickTime必須なソフトをリリースしてるメーカーに言ってくれよ……
Re: (スコア:0)
Longman Dictionary of Contemporary English V4の辞書ソフトが、Quicktime必須だったかと。
しかもパッチを当てないと動かない。
http://www.pearsonlongman.com/dictionaries/support/ldoce-updated-suppo... [pearsonlongman.com]
とっくに新しい版が出てたから、辞書を買い替えろって事かな。
http://www. [amazon.co.jp]
Re: (スコア:0)
Unity(ゲームエンジンの方)で開発する際に、デフォルトのムービーシステムに
ムービーファイルインポートする際にQuickTime for Windowsがないと使い物にならなかったような…
こちらのドキュメント見る限り最新版でも事情は一緒のようで。
「動画ファイルは Apple 社の QuickTime を介してインポートされます。」
http://docs.unity3d.com/ja/current/Manual/class-MovieTexture.html [unity3d.com]
Re: (スコア:0)
Unityに関しては、割とすぐに自社かMSが代替品を用意してくれそうな気もする…。それか定石のOSSか。
どちらにしろ、アップデート等の手間がかかりそう…。
QuickTime Proもか (スコア:0)
金払ってライセンス購入したQuickTime Proユーザーにもサポート終了の連絡なしか
Re:QuickTime Proもか (スコア:2, おもしろおかしい)
Apple「え?まだWindows版使ってんの?Windows版が許されるのは学生までだよねー」
Re: (スコア:0)
今回のAppleの対応もビジネス的には割と常識外れな気も…。プラグインを使ってたソフトのユーザー・メーカーが困ってる訳だし。
サポート打ち切り自体はいいとして、やっぱ移行期間はつけてくれないと周りが困るよ…。
Re:QuickTime Proもか (スコア:2)
そもそもサポート終了を公式には表明していないという。今回の「終了」も「修正予定なし」もアップルからのコメントではなく外部機関の独自判断だし(そもそもパッチが提供可能になるまで脆弱性やら修正予定について基本的にはコメントしない)、元記事にあるアンインストール情報も以前から載ってたはず。
当然ながらSafariと違ってまだダウンロードできる [apple.com](フレームワーク依存のソフトが結構あるのでダウンロードサイトは切れないだろうけど)。
確かに移行期間を表明して終了とかしてくれるとありがたいけど、たぶんやらないだろうなあ。
Re:QuickTime Proもか (スコア:1)
IEとかFxとか、メディアファイル(動画・音声)を保存する機能があった(今もあるけど)のに、QuickTime入れるとブラウザのメニューを上書きした挙げ句、メディアファイルの保存がしたけりゃPro版にしろ金払え、とぬかしてたからな。
しかもアンインストール困難だった(レジストリ弄らないと消せないとか)
ランサムウェアをやめたと思えば、Appleも多少は成長したと思えなくもない、かも。
全く問題ない (スコア:0)
さすがApple、すばらしい迅速な判断と行動だ
こういうところを他社も見習うべき
Re: (スコア:0)
むしろ何も行動してないことからサポート切れが分かったんですが…
Pegasys (スコア:0)
ペガシスの
TMPGEnc MPEG Smart Renderer 4
TMPGEnc Video Mastering Works 5
TMPGEnc Authoring Works 5
は非表示に出来ますが、起動時にQuickTimeねーよ!って怒られますね。
恐らくmovインポートするのに必要なのでしょう。