macOSでQuickTimeを使った画面操作記録動画が撮れるということを知ってとりあえず試してみた

最近の私の記事は「いまさら感」が満載なものが多いのだが、今回もその「いまさら感」な記事を書いている過程で発見した、これまた「いまさら感」あふれる内容。macOS(Mac OS)にはもともとQuickTimeが標準でインストールされていて(と言い切ってしまうぐらい私はMac歴は浅いけど)、QTを使って実は画面記録が動画で撮れるということなのだ。ちなみにWindowsにもステップ記録ツールや、Windows10からは動画キャプチャーがあるようだ。 “macOSでQuickTimeを使った画面操作記録動画が撮れるということを知ってとりあえず試してみた” の続きを読む

US-CERT Technical Security Alarts

というわけで、忙しくてぜんぜん時間がとれないので、もうこうなったら一挙公開ということで。
いやまぁ、公開してるのは、私じゃなくてUS-CERTで、すでに出たものばかりですが。

■SNMPv3 Authentication Bypass Vulnerability – TA08-162A
http://www.us-cert.gov/cas/techalerts/TA08-162A.html

■Microsoft Updates for Multiple Vulnerabilities – TA08-162B
http://www.us-cert.gov/cas/techalerts/TA08-162B.html

■Apple Quicktime Updates for Multiple Vulnerabilities – TA08-162C
http://www.us-cert.gov/cas/techalerts/TA08-162C.html

[ad#ultrah]

QuickTime 7.5リリース

QuickTime 7.5リリース

各方面で話題になっているのでアレですが、QuickTimeの脆弱性問題と修正リリース。

■QuickTimeのアップデート公開、深刻な脆弱性に対処
http://www.itmedia.co.jp/news/articles/0806/11/news027.html
■Apple Quicktime Updates for Multiple Vulnerabilities – TA08-162C
http://www.us-cert.gov/cas/techalerts/TA08-162C.html

例によってUS-CERTの[sniplet 誤訳]。

■Apple Releases QuickTime 7.5
http://www.us-cert.gov/current/index.html#apple_releases_quicktime_7_5

Apple Releases QuickTime 7.5
added June 10, 2008 at 09:05 am

Apple has released QuickTime 7.5 to address multiple vulnerabilities. These vulnerabilities include the following:

* a heap-based buffer overflow condition in the handling of PixData structures when processing a PICT image that may allow an attacker to execute arbitrary code or cause a denial-of-service condition
* a memory corruption condition in the handling of AAC-encoded media content that may allow an attacker to execute arbitrary code or cause a denial-of-service condition
* a heap-based buffer overflow condition in the handling of PICT images that may allow an attacker to execute arbitrary code or cause a denial-of-service condition
* a stack-based buffer overflow condition in the handling of Indeo video codec content that may allow an attacker to execute arbitrary code execution or cause a denial-of-service condition
* an unspecified error in the handling of file: URLs that may allow an attacker to execute arbitrary files and applications

US-CERT encourages users to review Apple Article HT1991 and upgrade to QuickTime 7.5.

誤訳:
Apple、QuickTime 7.5をリリース
掲載 2008年6月10日 AM09:05

Appleは複数の脆弱性を修正したQuickTime 7.5をリリースした。これらの脆弱性は以下を含んでいる。

  • 攻撃者に任意のコード実行やサービス拒否を引き起こすのを許可する可能性がある、PICTイメージ処理時のPixData構造体の取り扱いでのヒープオーバーフロー。
  • 攻撃者に任意のコード実行やサービス拒否を引き起こすのを許可する可能性がある、AACエンコードされたメディアコンテンツの取り扱いにおけるメモリ崩壊
  • 攻撃者に任意のコード実行やサービス拒否を引き起こすのを許可する可能性がある、PICTイメージ処理時のPixData構造体の取り扱いでのバッファオーバーフロー。
  • 攻撃者に任意のコード実行やサービス拒否を引き起こすのを許可する可能性がある、Indeoビデオコーデックの取り扱いでのバッファオーバーフロー。
  • 攻撃者に任意のファイルやアプリケーションの操作を許可する可能性がある、「file:」URLの取り扱いにおける不特定エラー

US-CERTは、利用者にHT-1991の確認と、QuickTime 7.5へのアップグレードを利用者に推奨する。

実践ストリーミングサイト構築ガイド QuickTime編QuickTime GuideBookMac OS Xで創るDVD―QuickTime Player iMovie、iDVDで作るDVD‐Videoあの手この手

[ad#ultrah]

QuickTime 7.5とnet-snmp 5.x系に脆弱性

っていうのを、昨日書こうと思ったら、仕事満載だったんだよぉ!
ちうわけで、余力ができたら(どちらもUS-CERT Current Activityに掲載されているので)[sniplet 誤訳]する予定。

とりあえず、本家サイトをチェックしておくよろし。

[ad#ultrah]

QuickTimeのゼロデイ

QuickTimeは、また別の脆弱性が…。
ITmediaの記事はここ

Apple QuickTime Vulnerability Report
added April 23, 2008 at 06:33 pm

US-CERT is aware of a public report of a new vulnerability in Apple QuickTime. The report indicates that if a user opens a specially crafted QuickTime file, an attacker may be able to execute arbitrary code. This vulnerability may have several attack vectors, such as visiting a malicious or compromised website. US-CERT is currently investigating this report and will provide additional details as needed.

US-CERT encourages users to use caution when opening QuickTime files, and apply the best security practices described in the Securing Your Web Browser document, to help mitigate the risks.

誤訳:
Apple QuickTimeの脆弱性レポート
掲載 2008年4月23日 PM06:33

US-CERTはApple QuickTimeの新たな脆弱性の報告を確認している。このレポートでは、利用者が特別に加工されたQuickTimeファイルを開いた際、攻撃者は任意のコードを実行できる可能性があると指摘している。この脆弱性は、不正な、あるいは汚染されたウェブサイトのようないくつかの攻撃指向を持つ可能性がある。US-CERTはこのレポートについて現在調査中であり、必要に応じて詳細を追記していく。

US-CERTはリスク低減措置として、QuickTimeファイルを開く際に警告を出るようにしたり、Securing Your Web Browser文書に記述されている最善のセキュリティ対策の導入を利用者に奨励する。

[ad#ultrah]

QuickTime問題 〜 US-CERT Current Activity

ま、前の日記にも書きましたが。

JVNTA08-094Aもでていますね。QuickTimeなので、Windows版も同様の脆弱性が含まれる点に注意しましょう。

■JVNTA08-094A Apple QuickTime における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-094A/

Apple Releases QuickTime 7.4.5
added April 3, 2008 at 08:54 am

Apple has released QuickTime 7.4.5 to address multiple vulnerabilities. These vulnerabilities may allow a remote attacker to execute arbitrary code or obtain sensitive information.

US-CERT encourages users to review Apple knowledgebase article HT1241 and upgrade to Quicktime 7.4.5 to help mitigate the risks.

誤訳:
AppleがQuickTIme 7.4.5をリリース
掲載 2008年4月3日 AM08:54

Appleは複数の脆弱性を修正したQuickTime 7.4.5をリリースした。これらの脆弱性は、リモートの攻撃者に任意のコード実行や機密情報の入手を許してしまう可能性がある。

US-CERTは、リスク軽減の一助として、Appleナレッジベース記事HT1241の確認と、QuickTime 7.4.5へのアップグレードを利用者に奨励する。

[ad#ultrah]

Apple QuickTime Updates for Multiple Vulnerabilities

QuickTimeで、また複数の脆弱性です。
7.4以前の、Mac/Winのいずれでも影響がある模様。
未認証ユーザによるリモートからのコードの実行やDoSなどのお決まりコースのようです。
解決策はアップデートとのこと。

■Apple QuickTime Updates for Multiple Vulnerabilities – Technical Cyber Security Alert TA08-016A
http://www.us-cert.gov/cas/techalerts/TA08-016A.html