QuickTimeにまた深刻な脆弱性--修正パッチは未公開
eEyeが発見した脆弱性を10月31日にAppleに勧告したが、11月3日のセキュリティパッチで修正がなされていなかった。んで7日にぼんやりと脆弱性が存在することを公開したとのこと。
私の個人的な経験ではあるが、勧告を行うと自動応答メッセージが即座にやってくる。実際の勧告についての人間が書いた返信は昨年だと翌日〜3日後だったな。セキュリティ勧告を企業に対して行う場合には、一週間程度の回答期限を切っておいて、それを超えた段階でもう一度だめ押しのメールを投げるわけだが、個人的な経験からAppleに一週間待たされることはなかったんだがな。ほかのメーカー宛で放置されたままなのはいくつかある。
で、だ。

「エンドユーザーが、たとえば悪質なウェブサイトやチャットルールへのリンクをクリックするなど、何らかの操作を行う必要があるため、この欠陥からワームが発生するとは思えないが、ただし影響を受けるコンポーネントはデフォルトで有効になっている」（Puterbaugh） ……中略 新たに公表された欠陥には、攻撃者がそれを悪用して正規のユーザーになりすまし、リモートからコードを実行してしまうというおそれがある。攻撃者は、狙ったマシンに侵入して、なりすましたユーザーが許可されているどの操作でもできてしまう。もしそのユーザーに管理者権限があれば、攻撃者は管理者が可能なすべての部分にアクセスできる。 ……中略 eEyeでは、Appleがパッチを公開するまでは今回のセキュリティ勧告に関する詳細を明らかにしないとしている。このような方針をとるのは、ベンダーが欠陥への対処を進めている間にハッカーがこの問題をリバースエンジニアリングし、攻撃を仕掛けてくるのを防ぐためだ。

あるルートに穴があることがわかってるなら、攻撃手法をあぶり出せるクラッカーは必ずいる。
この書き方から想像できるのは、BOFでなければQuickTimeで動くコードの正規ルートでの送出か、QUickTimeそのもので行えるファイル操作かな。それともディスクイオメージを使ったオートプレイ系か。いずれにせよ、趣味で追っかけてる私程度でも思い当たる節はまだあと数件あるわけだ（掘ると別の脆弱性を見つけそうなので、今は手を付けないことにしている）。
いずれにせよ、QuickTimeは開発用ドキュメントもファイルフォーマットも公開されているから、時間さえあればなんとかなることは間違いない。
「詳しくは書かないが○○には○○なときに△△できる脆弱性がある」と公開するのは、メーカーへのプレッシャーにはなるかもしれないがそれ以上に黒社会を刺激してしまう問題の方が大きい。また、Appleからの連絡と対応が遅れている、という点からも脆弱性を探す手がかりになってしまう。メーカーとのやり取りのタイム自体も公表すべきじゃないんだよね。

……まぁ、過去にやらかしているからよくわかるんである。