QuickTimeはMacintoshユーザーにとっては標準の動画(マルチメディア)再生アプリ。

しかしWindowsユーザーにとっては一部のAdobe製品を使っているユーザー以外は必要がなくなっているアプリなのですが、昔からの流れで何となくインストールし続けている方も多いかと思います。 私もそうでした。

今年の4月、このアプリの脆弱性が発見されると同時にアップルは修正プログラムを提供することなくQuickTime for Windowsの開発及びサポートを終了したと発表しました。 「いつ終了する」という予告なしに突然終了を宣言したのです。

qtend

セキュリティに関する仕事をしている私ではありますが、恥ずかしながらこの件を見逃しておりました。

ヒープバッファーオーバーフローの脆弱性で、細工したサイトに誘導してユーザーに実行させて、ユーザーのPCで任意の命令を実行させるという一般的なもので、緊急度はあまり高くはないですが、標的型攻撃の様座な攻撃の一つに使われる可能性は高いと思われます。

MP4とは

Apple社のQuickTimeのフォーマットをベースにISO/IEC 14496のpart14で規格化された動画、音声、静止画を多重化して保存できるフォーマットです。 おなじみの音声フォーマットのmp3やaac,MPEG-1,MPEG-2の動画フォーマット、JPEGやPNGの静止画等を自在に取り込める自由度の高さで、広く普及しています。 インターネットで動画と言えばMP4ですよね。

しかし、MP4が登場してから相当な期間Windows標準の動画再生アプリWindows Media PlayerMP4の再生に対応しませんでしたので、MP4形式の動画を再生するのにQuickTimeが必要な時期がありました。

そのためにQuickTimeは入れておかなければならないアプリという感覚が自分の中にあるので、WindowsがMP4に対応した後もインストールしたままにしていました。 皆さんはいかがでしょうか?

殆ど使われなくなっているアプリであっても、ひょっとしたら使うかもと消せないでいた貧乏根性がいけなかったですね。

使わないのものは削除しましょう

インターネットの時代の素晴らしいところは、必要なものはリアルタイムで手に入るということですから、もし必要になったらダウンロードしてインストールすればいいのです。 有償アプリでもライセンス管理がしっかりしているアプリであれば、削除してもラインセンスが有効であれば、再度ダウンロードしてインストールすれば良いので、有償アプリの場合は調べてから削除してください。

この方法をお勧めしているアプリの一つにFlashがあります。 「なぜFlashが脆弱性のデパートなのか?」で詳しく書きましたが、その昔リッチコンテンツを再生するのに不可欠なソフトでしたが、今やその役割を終え脆弱性を撒き散らすたいへんな存在になっています。 毎月のように発表される修正ソフトの適用が遅れて大きな被害が多数発生しているほか、標的型攻撃の主要な攻撃対象になっていますから、基本的にアンインストールすることをお勧めします。

未だにFlash対応のコンテンツが残っていますから、必要になったら、その都度最新のプログラムをダウンロードして使用するようにすれば、更新忘れで侵入される恐れもなくなります。 そして使い終わったら再度削除することをお忘れなく。

QuickTime for Windowsも

即削除してください。 それしかありません。

アプリの供給者としてのAppleの態度はいただけませんね。 Windowsユーザーなど顧客と思っていないのでしょうから仕方がないですが。

少なくとも、日本の会社であったら、会社自体が倒産という事態でもない限り、脆弱性が発見された後出しで、サポート終了というのはあり得ないでしょうね。 最後の脆弱性に対する修正を出して、これで終わりというのが常識的な対応でしょう。

それをしないで、いきなり終了というのは、本当にWindowsユーザーとは決裂ということなのでしょう。

腹立たしい思いを込めてコントロールパネルのプログラム(アプリ)からダブルクリックして抹殺してやってください。

脆弱性チェッカー

今回この脆弱性に気づかせてくれたのは、MyJVN バージョンチェッカーです。 JPCERTとIPAが運営する脆弱性対策情報ポータルサイト Japan Vulneravility Notes から無償でダウンロードできますから、時々動かしてチェックしてみてください。

アンチウィルスとは関係なく動作しますので、安心して使用できます。

JRE版と.NET版がありますが、上記リンクは.NET版のものです。 .NETもJRE環境自体脆弱性を孕んでいますが、.NETはMicrosoft updateで更新されているのに対し、JRE(即ちJava環境)は単独でアップデートが必要ですから、業務アプリなどでどうしても必要な方以外はインストールしないのが賢明です。

ダウンロードして、解凍すると「1_Script_Gui」というフォルダの中に「MyJVN_.NET_GUI_.bat」というバッチファイルが4つ出来上がります。にはVista,Win7,Win8,Win10が入りますので、ご使用のOSバージョンに合わせてバッチファイル選んでダブルクリックで実行すると下記のウィンドウが出てチェックしてくれます。

jvn

AppleもMicrosoftもこの件に関して積極的な告知は行っていませんので、注意が必要です。

特にiphoneのデータを取り込むためにitunesを入れているPCにはQuickTimeが入っている可能性が高いですから、調べてみてください。

 

VMware Workstation 12 Player