米国 Apple は7月2日、セキュリティアップデート 2013-003 を公開した。Apple によるメディアプレイヤー QuickTime に関連した3件の脆弱性に対応している。脆弱性はいずれも、利用者が悪意のあるファイルを再生・視聴した際に、任意のコードを実行される危険性のあるものだった。

Apple、QuickTime の脆弱性に対応した Mac OS X 向けのセキュリティアップデートを公開
今回のアップデートで私が驚いたのは、次の2点だ。1つ目は、脆弱性がすべて HP の Zero Day Initiative(ZDI)によって発見されていたという点。2つ目は、今回のアップデートで修正された脆弱性は、Windows 版の QuickTime ではすでに5月に対応済みだったという点だ。

ZDI による報告

HP の ZDI グループは、脆弱性を発見したセキュリティ研究者に対して、報奨金を与えている。その後、ZDI は発見された脆弱性を、責任を持って当該のベンダーに報告している。

HP セキュリティリサーチ(HPSR)のディレクター Scott Lambert 氏は InternetNews.com に対し、QuickTime は企業・一般の両ユーザーから高い人気を得ており、このため HP Zero Day Initiative でも、優先順位の高い保護対象アプリになっていると語った。

「我々は Apple との緊密な関係を保持しており、セキュリティ研究者によるコミュニティが発見した重要な脆弱性に関する情報を Apple と共有している。この結果、今年に入ってから、QuickTime だけですでに12件の脆弱性に対応している」

Windows 版 QuickTime では5月に修正済み?

Apple は今回、Mac OS X 版の QuickTime ユーザーに向けてパッチをリリースした。だが、Windows 版の QuickTime ユーザーに対しては、5月にリリースした QuickTime 7.7.4 で、今回の脆弱性への対応をすでに済ませていた。

この件について、Lambert 氏は次のように述べた。

「検証をしたわけではないが、Apple のアドバイザリによれば、これら(今回の Mac OS X 向けパッチと、5月の Windows 向けパッチ)は、同じ CVE に対応したものに見える」

なぜ Apple は、Windows 向けのパッチリリースを、Mac OS X 向けのパッチより優先したのだろうか?その理由はわからない。また、Mac OS X 向けのパッチが、55件の脆弱性を修正した6月のアップデートに含まれなかった理由も不明だ。

だが ZDI から見れば、Apple の脆弱性への対応は、申し分のないものだという。

「Apple は、最も対応の早いベンダーの1つだ。我々の公開した脆弱性には常に真摯に取り組んでおり、我々のポリシーに従ってパッチをリリースしている」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。