先日、偶然 QuickTime のある致命的な脆弱性を見つけたんですけど、いまひとつ再現条件をつかめないでいるうちに...

Apple、QuickTime最新版で8件の深刻な脆弱性修正

...で、修正されたっぽい。自分が見つけた脆弱性はいかに Apple がセキュリティに対するリテラシーが低いかを物語るようなもので、そのあまりの酷さに閉口するようなものでした。かなり致命的な問題なんで詳細を公開することは避けますが、ただのテキストファイルを動画ファイルとして読み込ませただけで OS 毎クラッシュするような事態を招く酷いものでした。実際、ちゃんとした検証を行ったわけではないので、今回の修正により私のところで再現可能な環境では再現しなくなっただけで問題そのものはまだ残っているかもしれません。

なにげに QuickTime に依存したソフトウェアって多いわけですが、 Apple のようにセキュリティに対するリテラシーが低い企業のソフトウェアに依存するのは一考して欲しいものです。

ちなみに私は見つけた脆弱性を回避するにはブラウザに登録されている QuickTime プラグインを無効にしておけばとりあえず、リンクをクリックしただけで OS をクラッシュさせられるということはおきないようです。また、この脆弱性はただのテキストファイルによって引き起こされる問題なのであらゆるアンチウィルス製品ならびにファイアウォールでも防御不能です。てか、こんなただのテキストデータをブロックされても困るし・・・というレベルのデータでクラッシュさせられます。