Quicktime7.5.5で、QTVRに関するセキュリティ脆弱製が改善

2008/09/11 07:07

comment:0
| trackback:0

iPodシリーズが刷新された話題がMac界を賑わせた昨日でしたが、その直前にひっそりとQuicktime7.5.5がリリースされていました。
今回のアップデートでは、信頼性の改善、アプリケーションの互換性の向上、およびセキュリティの改善を実現する変更が加えられています。
この中で、QuicktimeVR（QTVR）ファイル中に見つかる可能性のあるセキュリティ脆弱性に対する改善も図られています。

■ Apple セキュリティアップデートについて
 http://support.apple.com/kb/HT1222?viewlocale=ja_JP

QuickTime
CVE-ID: CVE-2008-3624
Available for: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 or later, Windows Vista, XP SP2 and SP3
Impact: Viewing a maliciously crafted QTVR movie file may lead to an unexpected application termination or arbitrary code execution Description: A heap buffer overflow exists in QuickTime's handling of panorama atoms in QTVR (QuickTime Virtual Reality) movie files. Viewing a maliciously crafted QTVR file may lead to an unexpected application termination or arbitrary code execution. This update addresses the issue through improved bounds checking of panorama atoms. Credit to Roee Hay of IBM Rational Application Security Research Group for reporting this issue.
QuickTime
CVE-ID: CVE-2008-3635
Available for: Windows Vista, XP SP2 and SP3
Impact: Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution Description: A stack buffer overflow exists in the third-party Indeo v3.2 codec for QuickTime. Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution. This update addresses the issue by not rendering content encoded with any version of the Indeo codec. This issue does not affect systems running Mac OS X. Credit to an anonymous researcher working with TippingPoint's Zero Day Initiative for reporting this issue.

CVE-2008-3624では、ヒープバッファオーバーフローが存在する不正に仕込まれたQTVRムービーを閲覧すると、予期しないアプリケーション終了または不正なファイルが実行される恐れがある、と書かれてあります。このアップデートでは、上記の不正を探して警告を発する機能が追加されたようです。

CVE-2008-3635はVistaユーザーだけの警告です。QuicktimeのコーデックプログラムIndeo3.2にスタックバッファオーバーフローを引き起こすバグが見つかりました。これにより不正に作られたQTVRを見ると、予期しないアプリケーション終了または不正なファイルが実行される恐れがあります。本アップデートでこのバグが解消されています。

どちらにせよ、QTVRを愛する皆さんは、必ずアップデートしましょう。

＜元ネタ＞
今回の元ネタは毎日巡回してる検索結果RSSで引っかかった「Masaca's Blog 2」さんの記事から。
■ QuickTime 7.5.5 - Masaca's Blog 2

トラックバック(0)

トラックバックURL:

コメントする

名前

電子メール

URL

ログイン情報を記憶

コメント (スタイル用のHTMLタグを使えます)

» パノラマの知名度は今や一般大衆レベルです。

近年パノラマコンテンツは、Googleストリートビューに代表される地図の付加情報としてのパノラマVRムービーの台頭で非常に注目を浴びていますが、その表現力はそれだけに留まらず、多方面で利用されるパノラマヴァーチャルツアーコンテンツ、ギガピクセルクラスの超高解像度パノラマコンテンツ、さらには、360°全方位パノラマ動画が、ライブ配信されるまでになっています。

» 常に業界をリードし続けます。

世界でも類を見ないパノラマ関連情報専門ブログ「QTVR Diary」の知名度は、リソースの少ない日本だけでなく海外からも注目を浴びています。国内外のメーカーからの情報やソリューションサンプルの提供を受け、いち早くパノラマ業界の専門情報をお届けしています。