[2005/11/20 15時35分 修正] Appleの音楽管理ソフト「iTunes」の一部のバージョンに深刻な脆弱性が見つかった。この脆弱性を悪用し、攻撃者がユーザーのコンピュータをリモートから乗っ取る可能性があると、あるセキュリティ調査会社が米国時間17日に注意を呼びかけた。
Appleは先ごろ「iTunes 6 for Windows」用のセキュリティアップデートを公開していたが、今回の脆弱性はそのわずか数日後に見つかったことになる。
この脆弱性は、iTunes for Windowsの以前のバージョンに存在していたもので、最新のセキュリティアップデートでは修正されていなかった、とセキュリティ対策企業のeEye Digital Securityは警告のなかで述べている。
同社は当初、このiTunesの脆弱性が「すべてのオペレーティングシステム」に影響をあたえるとする告知をウェブサイトに誤って掲載したが、その後になって告知を更新し、この脆弱性がWindowsオペレーティングシステムだけに見つかっていたと内容を改めた。
しかし、eEyeは現在、この脆弱性がMac OS上で動作するiTunesにも影響を与えるかどうかについてテストを進めている。
iTunes 6 for Windows、ならびに以前のバージョンは、この脆弱性の影響を受けると、eEyeのプロダクトマネージャ、Steve Manzuikは説明している。
同氏によると、この脆弱性は、ハッカーがリモートから任意のコードを実行することを可能にするもので、ユーザーが悪質なウェブサイトへのリンクをクリックする、または悪質な電子メールを開くと、コードが実行されてしまうという。
「iTunesは広く普及しており、そのため影響を受けるマシンが数多く存在する」と同氏は述べたが、ただし今日までiTunesを悪用するエクスプロイトコードは1つも公開されていない点を強調した。
Appleは今週に入って iTunes 6 for Windows のセキュリティパッチをリリースしたが、このパッチは誤ったヘルパーアプリケーションが起動するのを防ぐためのものだった。
ヘルパーアプリは複数のシステムパスを調べ、どのプログラムを動かすかを割り出すが、この脆弱性が攻撃者に悪用された場合、iTunesが本来のものとは異なるプログラムを起動してしまう可能性があった。
Apple関係者からはコメントを得られなかった。同社のウェブサイトに掲載されているセキュリティ問題に関するポリシーには、調査を完了し、必要なパッチを公開するまで、セキュリティ問題についての説明や確認は行わない、と書かれている。
なお、eEyeでは、ベンダー側が脆弱性を解決するパッチをリリースするまでは、それに関する詳しい情報を提供していない。
訂正:本記事には当初、eEye Digital Securityのウェブサイトに掲載された不正確な報告が引用されていた。この報告は、当該のiTunesのセキュリティ脆弱性がWindowsとMacの両方に影響を与えるとなっていた。この点を明らかにするために、eEyeでは現在もMac OS上の脆弱性をテストしている。
CNET Japan 編集部より:本記事が準拠するNews.comの当該記事に、本記事の公開(日本時間19日01時39分)後に修正が加えられました。これを受け、本記事にもNews.com側の修正に準じた変更を加えました(詳しくは訂正欄をご覧ください)。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
レトロかわいいAIデバイス「rabbit r1」を体験--新たなトレンドを作れるか? 
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス 
「Android」スマホのホーム画面を手軽に効率化する5つの方法