アップルの「iTunes」に深刻な脆弱性--マシン乗っ取りのおそれ

Dawn Kawamoto(CNET News.com)2005年11月19日 01時39分

[2005/11/20 15時35分 修正] Appleの音楽管理ソフト「iTunes」の一部のバージョンに深刻な脆弱性が見つかった。この脆弱性を悪用し、攻撃者がユーザーのコンピュータをリモートから乗っ取る可能性があると、あるセキュリティ調査会社が米国時間17日に注意を呼びかけた。

 Appleは先ごろ「iTunes 6 for Windows」用のセキュリティアップデートを公開していたが、今回の脆弱性はそのわずか数日後に見つかったことになる。

 この脆弱性は、iTunes for Windowsの以前のバージョンに存在していたもので、最新のセキュリティアップデートでは修正されていなかった、とセキュリティ対策企業のeEye Digital Securityは警告のなかで述べている。

 同社は当初、このiTunesの脆弱性が「すべてのオペレーティングシステム」に影響をあたえるとする告知をウェブサイトに誤って掲載したが、その後になって告知を更新し、この脆弱性がWindowsオペレーティングシステムだけに見つかっていたと内容を改めた。

 しかし、eEyeは現在、この脆弱性がMac OS上で動作するiTunesにも影響を与えるかどうかについてテストを進めている。

 iTunes 6 for Windows、ならびに以前のバージョンは、この脆弱性の影響を受けると、eEyeのプロダクトマネージャ、Steve Manzuikは説明している。

 同氏によると、この脆弱性は、ハッカーがリモートから任意のコードを実行することを可能にするもので、ユーザーが悪質なウェブサイトへのリンクをクリックする、または悪質な電子メールを開くと、コードが実行されてしまうという。

 「iTunesは広く普及しており、そのため影響を受けるマシンが数多く存在する」と同氏は述べたが、ただし今日までiTunesを悪用するエクスプロイトコードは1つも公開されていない点を強調した。

 Appleは今週に入って iTunes 6 for Windows のセキュリティパッチをリリースしたが、このパッチは誤ったヘルパーアプリケーションが起動するのを防ぐためのものだった。

 ヘルパーアプリは複数のシステムパスを調べ、どのプログラムを動かすかを割り出すが、この脆弱性が攻撃者に悪用された場合、iTunesが本来のものとは異なるプログラムを起動してしまう可能性があった。

 Apple関係者からはコメントを得られなかった。同社のウェブサイトに掲載されているセキュリティ問題に関するポリシーには、調査を完了し、必要なパッチを公開するまで、セキュリティ問題についての説明や確認は行わない、と書かれている。

 なお、eEyeでは、ベンダー側が脆弱性を解決するパッチをリリースするまでは、それに関する詳しい情報を提供していない。

訂正:本記事には当初、eEye Digital Securityのウェブサイトに掲載された不正確な報告が引用されていた。この報告は、当該のiTunesのセキュリティ脆弱性がWindowsとMacの両方に影響を与えるとなっていた。この点を明らかにするために、eEyeでは現在もMac OS上の脆弱性をテストしている。
CNET Japan 編集部より:本記事が準拠するNews.comの当該記事に、本記事の公開(日本時間19日01時39分)後に修正が加えられました。これを受け、本記事にもNews.com側の修正に準じた変更を加えました(詳しくは訂正欄をご覧ください)。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]