Quicktime7.5.5で、QTVRに関するセキュリティ脆弱製が改善
iPodシリーズが刷新された話題がMac界を賑わせた昨日でしたが、その直前にひっそりとQuicktime7.5.5がリリースされていました。
今回のアップデートでは、信頼性の改善、アプリケーションの互換性の向上、およびセキュリティの改善を実現する変更が加えられています。
この中で、QuicktimeVR(QTVR)ファイル中に見つかる可能性のあるセキュリティ脆弱性に対する改善も図られています。
■ Apple セキュリティアップデートについて
http://support.apple.com/kb/HT1222?viewlocale=ja_JP
-
QuickTime
CVE-ID: CVE-2008-3624
Available for: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 or later, Windows Vista, XP SP2 and SP3
Impact: Viewing a maliciously crafted QTVR movie file may lead to an unexpected application termination or arbitrary code execution Description: A heap buffer overflow exists in QuickTime's handling of panorama atoms in QTVR (QuickTime Virtual Reality) movie files. Viewing a maliciously crafted QTVR file may lead to an unexpected application termination or arbitrary code execution. This update addresses the issue through improved bounds checking of panorama atoms. Credit to Roee Hay of IBM Rational Application Security Research Group for reporting this issue. -
QuickTime
CVE-ID: CVE-2008-3635
Available for: Windows Vista, XP SP2 and SP3
Impact: Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution Description: A stack buffer overflow exists in the third-party Indeo v3.2 codec for QuickTime. Viewing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution. This update addresses the issue by not rendering content encoded with any version of the Indeo codec. This issue does not affect systems running Mac OS X. Credit to an anonymous researcher working with TippingPoint's Zero Day Initiative for reporting this issue.
CVE-2008-3624では、ヒープバッファオーバーフローが存在する不正に仕込まれたQTVRムービーを閲覧すると、予期しないアプリケーション終了または不正なファイルが実行される恐れがある、と書かれてあります。このアップデートでは、上記の不正を探して警告を発する機能が追加されたようです。
CVE-2008-3635はVistaユーザーだけの警告です。QuicktimeのコーデックプログラムIndeo3.2にスタックバッファオーバーフローを引き起こすバグが見つかりました。これにより不正に作られたQTVRを見ると、予期しないアプリケーション終了または不正なファイルが実行される恐れがあります。本アップデートでこのバグが解消されています。
どちらにせよ、QTVRを愛する皆さんは、必ずアップデートしましょう。
<元ネタ>
今回の元ネタは毎日巡回してる検索結果RSSで引っかかった「Masaca's Blog 2」さんの記事から。
■ QuickTime 7.5.5 - Masaca's Blog 2
 PangeaVR free ★★★★★ |
 PangeaVR Pro ¥1,200- ★★★★・ |
 Cube World free ★★★★★ |
 Sphere View ¥230- ★★★・・ |
 Pano Tool ¥350- ★★・・・ |
 PanoCalc ¥230- ★★★・・ |
 AutoStitch ¥230- ★★★★★ |
 TripStitch ¥600- ★★★・・ |
 Pano ¥350- ★★★・・ |
 Panorama ¥1,200- ★★・・・ |
 Panoramas ¥230- ★★・・・ |
 PANORAMA Picker ¥115- ★・・・・ |
 PanoLabo free ★★★★★ |
 PanoLabo Pro ¥600- ★★★★・ |
 Mosaica Lite free ★★★・・ |
 Mosaica free ★★★★・ |
 Panorama Maker ¥230- ★★・・・ |
 Panorama Camera ¥350- ★★・・・ |
 ASKAParama free ★・・・・ |
 MawsonsHut free ★★★・・ |
 EON free ★★・・・ |
 Panoramascope ¥600- ★★★・・ |
 Topo Maps ¥800- ★★・・・ |
iViews¥230- ★★★・・ |
 Google Earth free ★★★・・ |
 Seadragon Mobile free ★★・・・ |
iSynthfree ★★★★・ |
 HongKong720° ¥230- ★★・・・ |
 vCathedrals ¥115- ★★★・・ |
 360 Viewer free ★・・・・ |
魚眼レンズ (シルバー) KSW-3 ¥3,480- |
魚眼レンズ (ブラック) KSW-3B ¥3,480- |
超広角レンズ KSW-1 ¥1,980- |
広角レンズ KW-1 ¥1,980- |
接写レンズ KC-1 ¥1,480- |
  ★QTVR Diaryオススメ★ ケータイ電話用魚眼レンズ KSW-4 ¥5,300- |
  iPhone用ラバーパッド ¥420- |
トラックバック(0)
このブログ記事を参照しているブログ一覧: Quicktime7.5.5で、QTVRに関するセキュリティ脆弱製が改善
このブログ記事に対するトラックバックURL: http://pencil-jp.net/mt/mt-tb.cgi/604
コメントする