アップルの「iTunes」に深刻な脆弱性--マシン乗っ取りのおそれ

[2005/11/20 15時35分 修正] Appleの音楽管理ソフト「iTunes」の一部のバージョンに深刻な脆弱性が見つかった。この脆弱性を悪用し、攻撃者がユーザーのコンピュータをリモートから乗っ取る可能性があると、あるセキュリティ調査会社が米国時間17日に注意を呼びかけた。

　Appleは先ごろ「iTunes 6 for Windows」用のセキュリティアップデートを公開していたが、今回の脆弱性はそのわずか数日後に見つかったことになる。

　この脆弱性は、iTunes for Windowsの以前のバージョンに存在していたもので、最新のセキュリティアップデートでは修正されていなかった、とセキュリティ対策企業のeEye Digital Securityは警告のなかで述べている。

　同社は当初、このiTunesの脆弱性が「すべてのオペレーティングシステム」に影響をあたえるとする告知をウェブサイトに誤って掲載したが、その後になって告知を更新し、この脆弱性がWindowsオペレーティングシステムだけに見つかっていたと内容を改めた。

　しかし、eEyeは現在、この脆弱性がMac OS上で動作するiTunesにも影響を与えるかどうかについてテストを進めている。

　iTunes 6 for Windows、ならびに以前のバージョンは、この脆弱性の影響を受けると、eEyeのプロダクトマネージャ、Steve Manzuikは説明している。

　同氏によると、この脆弱性は、ハッカーがリモートから任意のコードを実行することを可能にするもので、ユーザーが悪質なウェブサイトへのリンクをクリックする、または悪質な電子メールを開くと、コードが実行されてしまうという。

　「iTunesは広く普及しており、そのため影響を受けるマシンが数多く存在する」と同氏は述べたが、ただし今日までiTunesを悪用するエクスプロイトコードは1つも公開されていない点を強調した。

　Appleは今週に入って iTunes 6 for Windows のセキュリティパッチをリリースしたが、このパッチは誤ったヘルパーアプリケーションが起動するのを防ぐためのものだった。

　ヘルパーアプリは複数のシステムパスを調べ、どのプログラムを動かすかを割り出すが、この脆弱性が攻撃者に悪用された場合、iTunesが本来のものとは異なるプログラムを起動してしまう可能性があった。

　Apple関係者からはコメントを得られなかった。同社のウェブサイトに掲載されているセキュリティ問題に関するポリシーには、調査を完了し、必要なパッチを公開するまで、セキュリティ問題についての説明や確認は行わない、と書かれている。

　なお、eEyeでは、ベンダー側が脆弱性を解決するパッチをリリースするまでは、それに関する詳しい情報を提供していない。