2008/01/28
QuickTime 7.4 未だ脆弱? ―「龍樹の会計」通信 ― Vol.51
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ QuickTime 7.4 未だ脆弱? ―「龍樹の会計」通信 ― Vol.51 ― 2008年01月28日 ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ ■■ 今日のテーマ ■■ 1.QuickTime を 7.4 にバージョンアップした、しかし未だ脆弱性があると ★ -------------------------------------------------------------------- ★ このメールは全角37文字で改行しています.改行が崩れる時はメーラーの設定を ご調整ください.フォント設定はMS ゴシック(等幅フォント)が最適です. ★ -------------------------------------------------------------------- ★ 1.QuickTime を 7.4 にバージョンアップした、しかし未だ脆弱性があると 2.Adobe Reader の自動更新(更新通知)による更新の手順を検証しました ☆ -------------------------------------------------------------------- ☆ 1.QuickTime を 7.4 にバージョンアップした、しかし未だ脆弱性があると 2007年10月11日の「龍樹の会計通信」でアップルのページを参照してバージョンの 確認方法を調べておきました. C:\ProgramFiles\QuickTime\QTSystem\QuickTime.qts このファイルを見つけてマウスの右クリックからプロパティを確認するのです. 7.2 にバージョンアップ後、更にインターネット記事では QuickTime の脆弱性が 報じられましたが対策についてアップルの記事は出ていませんでした. http://internet.watch.impress.co.jp/cda/news/2008/01/16/18122.html 2008年01月16日にインプレス社の Internet Watch は「QuickTime 7.4」公開、4件 の脆弱性を修正と報じましたが、アップル社サイトには日本語版情報がありません でした. http://www.apple.com/support/downloads/quicktime74forwindows.html QuickTime 7.4 for Windows http://jvn.jp/cert/JVNTA08-016A/index.html Apple Quicktime における複数の脆弱性に対するアップデート 2008.01.18 (Japan Vulnerability Notes 有限責任中間法人 JPCERT コーディネーションセン ター (JPCERT/CC) と独立行政法人 情報処理推進機構 (IPA) が共同で運営) http://www.apple.com/jp/quicktime/download/ January 15, 2008 で QuickTime 7.4.0.91 が公開されていることを確認し、ダウ ンロードしてバージョンアップしましたが、その時には以下のメッセージが表示さ れました.無料版だけを使っている場合は無視して構いません. 『QuickTime Proユーザの皆様への重要な通知: QuickTime7 のインストールによってQuickTimeの旧バージョンにおける QuickTime Pro の機能が使用できなくなります。お客様がこのインストール作業を 続行する場合、お客様は、QuickTime Pro の機能を再び取得していただくために新 しいQuickTime 7 Pro キーをご購入していただく必要があります。インストール後、 www.apple.com/jp/quicktime にアクセスして QuickTime 7 Proキーをご購入して ください。』 http://docs.info.apple.com/article.html?artnum=307301-ja 最終更新 2008.01.25 となっているこのページは先日は英語版のままでしたが、 About the security content of QuickTime 7.4 2008年01月27日に確認したところ、日本語版記事 「QuickTime 7.4 のセキュリテ ィコンテンツについて」になっていて以下の事が書かれています. 『Apple では、ユーザ保護の観点から、徹底した調査が完了し必要なパッチやリ リースが利用可能になるまで、セキュリティの問題に関して公開、説明または承認 を行いません。Apple 製品のセキュリティの詳細については、アップル製品のセキ ュリティを参照してください。』 http://www.apple.com/jp/support/security/ なるほど、セキュリティ関連のサイトが伝える脆弱性ありの情報はいくらアップル のサイトを探しても出て来ないはずです. JVN のページで 2008.01.17 の記事ですが 公開されたばかりの QuickTime 7.4 で は対策されていない脆弱性があるとして18日の記事でもこれに言及しています. http://jvn.jp/cert/JVNVU%23112179/index.html 従ってバージョンアップした QuickTime 7.4でも未だ危ないということです. QuickTime を使っていると iTune というソフトを薦めるメッセージが表示されま すが、セキュリティ問題が一応片付いてから検討すべきと思います. しかし、QuickTimeでしか閲覧できないファイルもあります.詳しい知識が無いの ですが動画でそういうケースに接していますので、とりあえずは7.4.0.91 にバー ジョンアップしておき、更に続報を待つということで一件落着. ☆ -------------------------------------------------------------------- ☆ 一般紙のWeb記事ではウィルスとか個人情報流出など事件、犯罪に関係した記事 しか出てこない場合が多く、セキュリティ脆弱性を取り上げる記事はほとんど見か けません.私は以下のページをお勧めしておきます. http://www.watch.impress.co.jp/internet/ Internet Watch(インプレス社) http://itpro.nikkeibp.co.jp/security/index.html http://itpro.nikkeibp.co.jp/securityhole/index.html 日経BPサイトのセキュリティホームページ どんなソフトでも当然ですが、インターネットの記事で何かの問題が報じられたら そのソフトを使う時にページのアドレスなどから閲覧ファイルが危ないものでは無 いことを確認することが必要です. その点で、行き先アドレスが表示されないフラッシュからのリンク先とか、ポップ アップ表示が多用される場合に、やたらにクリックすべきではありません. ☆ -------------------------------------------------------------------- ☆ 大変奇妙なことに、 http://www.ipa.go.jp/security/ 情報処理推進機構のホームページから QuickTime の情報をクリックするとポップ アップで開くようです.私のブラウザはセキュリティ対策上ポップアップをブロッ クすることにしています(^o^) しかも、このリストは JavaScript で表示するフラッシュでした. http://jvn.jp/rss/ilist.swf ソースを読んでこれが分かりましたが、この情報処理推進機構とは何を「推進」し ているのでしょう. フラッシュからリンクされている記事は上に書いた JVN の記事です. http://jvn.jp/ このページを時々確認するようにするのが一番良さそうです. ☆ -------------------------------------------------------------------- ☆ 2.Adobe Reader の自動更新(更新通知)による更新の手順を検証しました これについては2008年1月25日に記事を更新しています. http://ryuju.xrea.jp/tec/ref/ref_pdf.htm 私の結論としては更新通知を自動的に受取るようにしておいて、インストールは自 分の判断で行うという方法が良いという事です. ~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/~/ 発行日・2008-01-28 −「龍樹の会計」通信 Vol.51 発行者・T-SQR BUKEN InfoWorks : http://ryuju.xrea.jp/ お問い合わせは:ryuju@s44.xrea.com 発行システム・インターネットの本屋さん『まぐまぐ』 http://www.mag2.com/ まぐまぐID : 0000123818 購読解除・宛先変更は:http://www.mag2.com/m/0000123818.htm :http://ryuju.xrea.jp/magz/ _/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
