「QuickTime」に2件のゼロデイ脆弱性。Windows版の修正は提供されず

　トレンドマイクロ（株）のZero Day Initiative（ZDI）は14日（米国時間）、Apple社製メディアプレーヤー「QuickTime」に2件の脆弱性（ZDI-16-241、ZDI-16-242）が存在することを明らかにした。この脆弱性の修正予定はなく、Appleは「QuickTime」のアンインストールを推奨しているという。

　脆弱性の内容は、無効なインデックスを指定することにより、割り当てられたヒープバッファの外にデータを書き込むことができるというもので、細工が施されたファイルを開くだけでリモートから任意のコードを実行されてしまう恐れがある。脆弱性評価システム“CVSS”による深刻度の 評価は、10点満点で“6.8（警告）”。

　昨年11月11日、ZDIはこれらの脆弱性をAppleへ報告したが、今年1月にリリースされたv7.7.9でも脆弱性は修正されなかった。そこでAppleへ再度問い合わせを行ったところ、Windows版「QuickTime」は廃止予定であり、ユーザーに削除方法を案内するとの告知を受けたという。

　「QuickTime」の削除方法は現在のところ製品ページに掲載されていないが、Appleのサポートページで参照することが可能。「QuickTime」は「iTues」などの同社製品をセットアップまたはアップデートする際にインストールを勧められることがあるので、同社製品を利用している場合は「QuickTime」がインストールされていないかもう一度確認した方がよいだろう。

　なお、Appleは以前にもWindows版「Safari」をアナウンスなしに開発を終了している。