QuickTime for Windowsに致命的なバグ
経緯について
私は普段Macを使用しており、連番ファイルでの受け渡しが主だったのであまり気にも留めていなかったのですが、6月になって周りでも話題に上がるようになってきたので当サイトでも注意喚起したいと思います。
そもそもの発端は2016年4月14日にUS-CERT(アメリカ合衆国コンピュータ緊急事態対策チーム)が発表したApple QuickTime for Windowsの脆弱性です。US-CARTのサイトに行くと詳細が記述されていますので英語がわかる人は読んでみてください。
一応説明しますと、まずタイトルは、「AppleはQuickTime for Windowsの脆弱性によりサポートを終了した」です。
概略には、トレンドマイクロのアプリケーション分析専門部門であるZDI(Zero Day Initiative Advisory)が、QuickTimeに2つの脆弱性があることをAppleに報告したのが始まりだと書いてあります。
時間経過も詳しく書かれており、事の顛末がわかるようになっています。情報公開という点で非常に優れた取り組みですね。では順を追って説明します。
-
2015年11月11日、ZDIがAppleにQuickTime for Windowsに2つの脆弱性がある事を報告。
同日、Appleはこの報告書を受理した事を認めた。 - 2016年2月29日、ZDIは、Appleに対し、その後の対応に関してどうなっているのか説明を求めた。
- 2016年3月8日、Appleは、ZDIに説明する旨の通達をした。
- 2016年3月9日、Appleは、ZDIを招き、QuickTime for Windowsを今後開発しないことと、QuickTime for Windowsユーザに対し、アンインストールの手順を示すことを説明した。これによりZDIはこの件が「0-DAY」に該当する事をAppleに伝えた。
- 2016年3月24日、ZDIはAppleに対し、4月13日以降に「0-DAY」とする事を伝えた。
- 2016年4月1日、Appleも了承し、対応策について説明するウエブページのリンクを伝えた。
- 2016年4月14日、脆弱性が公開され、QuickTime for Windowsのアンインストールが必須となる。
ZDIとは?
さてここで、ZDIという会社について説明します。ZDIは様々なアプリケーションを検証してセキュリティホールを探します。問題があればアプリケーションベンダーに対し報告・対応を求める会社です。
過去には、Microsoft Internet Explorer8やiphone3GSの脆弱性をついて改善を促しました。2005年にテキサス州で生まれたTippingPointという会社が始まりです。途中HPの傘下にありましたが、現在は、セキュリティソフトウエアベンダーのトレンドマイクロに買収されています。ほぼ主要なベンダーは、この会社のお世話になっているといっても過言ではないでしょう。トレンドマイクロのブログには、対応済みのリストも掲載されています。Adobeもここのお客さんでFlashやReaderなどが直近の「0-DAY」対応済みリストに上がっています。
0-DAYとは?
ZDIでは「0-DAY」というものを設けています。いわゆる日本でよく使われる「X-Day」と同じ意味です。
この「0-DAY」とは、その脆弱性をいつ公表するかを定めた日のことです。
最初にベンダー(今回はApple)に報告してからカウントダウンが始まり、120日以内に対応策を講じて全ユーザーに公表しなさいと求めています。そして、120日を経過するとZDIが脆弱性を公開します。
ZDIでは、QuickTime for Windowsの脆弱性が「0-DAY」に該当するケースとして認定し、それを2016年3月24日に「0-DAY」を4月13日にするとAppleに伝えました。
要する最初にAppleに報告したのが2105年11月11日ですから、そこから120日以内に対策を講じなさいと・・・。つまり、2015年11月11日から数えて120日後には情報を公開しますよと通告したわけです。Xデイに向けてのカウントダウンが始まり、公開してもいい日が「0-Day」ということになります。
mocha Proではどうなの?
問題は、mochaProではどうなるのかということですね。Mac版は今後もQuickTimeのサポートが継続されるので、問題ありませんが、肝心なのはWindowsで使っているユーザーですね。
最新バージョンのmochaPro 5のPluginバージョンでは、PremirerやAfterEffectsの上で動くので、そこで動画が表示されているのであれば、問題なく使えます。
しかし、スタンドアロンバージョンでは、MOVの動作はmochaProにかかってきますので動かない場合もあるでしょう。実際に私のWindows環境でもQuickTimeを抜いたら動きませんでした。
Imagneersystemsのサポートサイトでは、QuickTime for Windowsをアンインストールしてから、QuickTime Essentialsをインストールすることを暫定的に提案しています。EDIUSのサイトでも同様の説明がされていますので参考にしてください。これによりMOVファイルを再生することができます。
ただし、これはあくまでも暫定的な措置であり恒久的な対応策ではないことに注意してください。悪意のあるMOVファイルを開いた場合、ウイルス感染のリスクが発生することもあるされています。mochaProユーザーの場合は、どこに持って行ってもデータの受け渡しができる連番ファイルで作業するのが好ましいですね。
これからどうなる?QuickTimeの未来
Appleが、今後Windows版のQuickTimeをサポートしないことを正式に発表したことでWindowsユーザーに激震が走りました。
なぜかというとQuickTimeをコンテナにして動いているアプリケーションが少なくないからです。最近ではMXF形式で映像、音声、メタデータ、プロキシが含まれた形で生成される形式もありますが、元々Windowsには標準的なフォーマットがなく、QuickTimeに独自のコーデックを内包して成立しているアプリケーションが多かったこともあり混乱しています。
BlackmagicやAJAを使ってProRes422コーデックで圧縮しMOV形式でファイルを生成している場合、Windowsでは読めなくなってしまいます。
MOV形式は永遠不滅だと思っていた私などは子供のビデオは全てMOV形式で保存しているので、将来的にMacからWindowsに切り替えた場合を考えると頭を抱えてしまいます。
では、QuickTimeはこれからどうなるのかというと、Final Cut Pro Xがあのような不人気ですから、いずればプロビデオ業界から消えてなくなるのではと考えています。
鳴り物入りで登場したゴミ箱型MacProもいつまで経っても最新CPUに変わらないことや、グラフィックボードが自由に選べないことからワークステーション業界から自然消滅するのではないかと思います。2016年中にMacProとMacBookProがモデルチェンジすると言われていますが、グラボの性能と拡張性に左右される映像業界にあってゴミ箱MacProでは力不足と考える方は多いのではないでしょうか。何でも突っ込める一世代前のMacProを復活してほしいですね。