Appleより「Security Update for QuickTime 7.2 for Windows」がリリース、メディアリンクファイル（.qtl）におけるURLハンドリング等を修正

Appleより米国時間３日、同社によるマルチメディアAPI「QuickTime」に対する最新セキュリティアップデート「Security Update for QuickTime 7.2 for Windows」がリリースされ、メディアリンクファイル（.qtl）におけるURLハンドリングに起因した脆弱性の修正等が行われています。

• About Security Update for QuickTime 7.2 for Windows
• アップル、Windows版「Quicktime」のセキュリティアップデートをリリース:ニュース - CNET Japan

９月中旬に米US-CERTや仏FrSIRT等の一部セキュリティベンダを通じて、Mozilla FoundationによるWebブラウザ「Firefox」に関連した脆弱性、及びエクスプロイトコード等が公開されていたAppleによるマルチメディアAPI「QuickTime」に、この度米国時間３日付にて最新セキュリティアップデートに相当する「Security Update for QuickTime 7.2 for Windows」がリリース。現在冒頭Linkの公式ダウンロードページ、及び「Apple Software Update」経由にて入手可能となっています（msi：約7MB）。

この度リリースされた「Security Update for QuickTime 7.2 for Windows」ではCVE（Common Vulnerabilities and Exposures）による分類にて１件の修正項目が挙げられおり（CVE-2007-4673）、同脆弱性では「QuickTime」がメディアリンクファイル（.qtl）における「qtnext」フィールドにてURLを処理する際に、コマンドインジェクションに関連するセキュリティリスクが発生し得るとの事。悪意を持って作成されたQTLファイルにユーザを誘導する事により、コマンドライン引数を用いたアプリケーションの起動、及びカレントユーザ権限による恣意的なコードの実行が誘発される危険性等が指摘されています（「Security Update for QuickTime 7.2 for Windows」では、URLのハンドリングを改善する事により、当該問題の修正が行われているとされています）。

主なシステム要件として以下の項目等が示されています。

• Windows Vista
• Windows XP Service Pack 2
• QuickTime 7.2

尚、この度修正が行われた脆弱性は、Mac OS Xに影響を及ぼす事はないと伝えられており、Firefoxサイドでは米国時間９月18日付にてリリースされた「Firefox 2.0.0.7」において当該問題の修正が行われています。また、インストールに関する諸情報を含むその他の詳細等が冒頭Linkのセキュリティアドバイザリを通じて確認可能となっています（アップデート後のQuickTimeのバージョンは「QuickTime 7.2.0.245」となります）。