QuickTimeに未解決の深刻な脆弱性＝WindowsのIEに影響

2001年から存在した不要なパラメーターが影響

スペインのセキュリティ企業WintercoreのRuben Santamarta氏によると、Appleのマルチメディア再生ソフト「QuickTime」Windows版において、リモートで任意のコードを実行される脆弱性が見つかったという。
同プラグインをインストールしているInternet Explorer（IE）では、細工したWebページを単に閲覧しただけで攻撃を受ける可能性がある。Appleは、最新版「QuickTime 7.6.7」を8月11日にリリースしたが問題は解決していない。

影響を受けるのは、「QuickTime 6」以降をインストールしているWindows XP/Vista/7 で、Appleからは今現在、まだ修正パッチが公開されていない。
Santamarta氏の指摘によれば、取り除かれるべき不要なファンクション「_Marshaled_pUnk」が残っており、Appleの開発者が単に消し忘れただけのようだ。しかしながら、この不要なパラメーターが2001年からほぼ10年間もずっと存在し、さらに、最新版でも問題のコードが完全に除去されていないというから驚きだ。
また、DEP（データ実行防止）やASLR（アドレス空間配置のランダム化）といった、Windowsのセキュリティ機能も、ROP（return oriented programming）という手法でセキュリティホールを突かれてPCを乗っ取られる可能があるという。

Windowsユーザは、Appleから修正パッチがリリースされるまで、「QuickTime」をアンインストールしておいた方がいいだろう。2001年より前のバージョンを入れているなら別だが。