国内各所でも報じられている通り、2016/4/14付で、US-CERT(アメリカ国土安全保障省傘下の情報セキュリティティーム)により、以下の発表がされています。
Apple Ends Support for QuickTime for Windows; New Vulnerabilities Announced
概要を引用すると、
According to Trend Micro, Apple will no longer be providing security updates for QuickTime for Windows, leaving this software vulnerable to exploitation.
すなわち、
トレンドマイクロによると、アップルはQuickTime for Windowsのセキュリティアップデートをもはや提供しておらず、このソフトウェアをそのままにしておくと、脆弱性を晒すことになる。
と書かれています。なお、本件に関するAppleによる声明は現時点では特に無いようですし、AppleのサイトからQuickTime for Windowsはダウンロード可能な状態です。
(2016/4/29追記ここから)
Apple公式にサポート終了がアナウンスされました。
QuickTime 7 や QuickTime 7 Pro についてわからないことがある場合 - Apple サポート
上記ページに追加情報として、
と掲載されました。
(2016/4/29追記ここまで)
このUS-CERTの情報ソースとして貼られているトレンドマイクロによる発表は以下。
Urgent Call to Action: Uninstall QuickTime for Windows Today -
タイトルの時点で、
Urgent Call to Action: Uninstall QuickTime for Windows Today
すなわち、
と言っています。
アンインストールすべき理由
上記のトレンドマイクロの発表文中では以下の2つの理由を挙げています。
deprecating
First, Apple is deprecating QuickTime for Microsoft Windows. They will no longer be issuing security updates for the product on the Windows Platform and recommend users uninstall it. Note that this does not apply to QuickTime on Mac OSX.
すなわち、
アップルはQuickTime for Windowsを廃止する予定(is deprecating)である。彼らはもはやWindowsプラットフォーム向けのセキュリティアップデートを発行しないだろう(will no longer be issuing)。このため、ユーザにはアンインストールを推奨する。(注)これはMac OSX版のQuickTimeには当てはまらない。
だそうです。ソフトウェア開発者ならdeprecateのニュアンスが通じやすいと思いますが、「非推奨」や「廃止予定」など幅広い意味を持っており、とにかく新たに使うべきでは無いといった感じの意味です。繰り返しになりますが、トレンドマイクロがそう言っているだけで、アップル自身はQuickTime for Windowsを廃止する予定だとかいった声明を出していません。
Never going to be patched
Second, our Zero Day Initiative has just released two advisories ZDI-16-241 and ZDI-16-242 detailing two new, critical vulnerabilities affecting QuickTime for Windows. These advisories are being released in accordance with the Zero Day Initiative’s Disclosure Policy for when a vendor does not issue a security patch for a disclosed vulnerability. And because Apple is no longer providing security updates for QuickTime on Windows, these vulnerabilities are never going to be patched.
トレンドマイクロのZero Day Initiativeは新たに2つ(ZDI-16-241, ZDI-16-242)のQuickTime for Windowsの致命的な脆弱性を発見している。それらは情報公開ポリシーに従い、脆弱性に対しベンダーがセキュリティパッチを発行しない場合、開示される。そして、アップルがQuickTime for Windowsのセキュリティアップデートをもはや提供していないから、これらの脆弱性は塞がれることはないだろう。
ということで、アップルがセキュリティアップデートを提供しないし、脆弱性もすでに見つかっているので、直ちにアンインストールせよと言っているのでしょう。しつこいようですが、これはトレンドマイクロが言っていることであり、アップルによる発表ではありません。
何故トレンドマイクロはアップルがQuickTime for Windowsを廃止予定だとかアップデートを発行しないと言っているのか?
私は詳しいことは知りませんが一般に、ベンダ(この場合Apple)に対する脆弱性の通知後、一定期間経っても対応されないと脆弱性の詳細が公開されるような流れになっているようです。上記の"Zero Day Initiative’s Disclosure Policy"によれば、
Zero Day Initiative
If a vendor response is received within the timeframe outlined above, ZDI will allow the vendor 4-months to address the vulnerability with a patch. At the end of the deadline if a vendor is not responsive or unable to provide a reasonable statement as to why the vulnerability is not fixed, the ZDI will publish a limited advisory including mitigation in an effort to enable the defensive community to protect the user.
ざっくり要約するならば、「ベンダに通知後4カ月以内に脆弱性に対するパッチを公開しないか、パッチを提供できない合理的な説明が無ければ、ユーザ保護のため情報公開する。」的なことが示されています。
故に、アップルが4カ月以上QuickTime for Windowsの脆弱性を放置し、合理的な理由の説明もしないため、トレンドマイクロはアップルがQuickTime for Windowsを廃止予定で、アップデートも発行しないだろうと言っているのでしょう。
ユーザがとるべき対策
Appleによる公式発表が無いため、QuickTime for Windowsが廃止されるか否かは不明確ですが、明確な脆弱性がある状態で利用するのは危険です。故にアンインストールすべきでしょう。
実際にQuickTime for Windowsが廃止されるのであれば、代替ツールへの乗り換えは必要でしょう。逆に、QuickTime for Windowsが廃止されないのであれば、後日アップデートが提供されるでしょうから、それを待ってから再インストールすればいいだけの話です。
