公開日:2010/12/09 最終更新日:2010/12/09

JVNVU#309873
Apple Quicktime の JPEG2000 の処理にバッファオーバフローの脆弱性

概要

Apple Quicktime の JPEG2000 の処理には、バッファオーバフローの脆弱性が存在します。

影響を受けるシステム

  • Apple Quicktime 7.6.9 より前のバージョン

詳細情報

Apple Quicktime の JPEG2000 の処理には、ヒープバッファオーバフローの脆弱性が存在します。

想定される影響

細工された JPEG2000 データを含む Quicktime コンテンツを閲覧することで、遠隔の第三者によって任意のコードを実行される可能性があります。

対策方法

アップデートする
Apple が提供する情報をもとに最新版にアップデートを行ってください。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • ウェブブラウザ上での QuickTime ActiveX コントロールおよび JavaScript を無効にする
    QuickTime ActiveX コントロールおよび JavaScript を無効にする設定方法は、ウェブブラウザにより異なります。
  • 不審な QuickTime ファイルを開かない
    不審なメールに添付されている QuickTime ファイルを開いたり、不審なウェブサイトに掲載されている QuickTime ファイルを開かないようにする。

ベンダ情報

ベンダ リンク
Apple About the security content of QuickTime 7.6.9
About the security content of Mac OS X v10.6.5 and Security Update 2010-007

参考情報

  1. US-CERT Vulnerability Note VU#309873
    Apple QuickTime JPEG2000 heap buffer overflow
  2. Japan Vulnerability Notes JVNVU#387412
    Apple Quicktime における複数の脆弱性に対するアップデート

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-3787
JVN iPedia