脆弱性に対処した「iTunes 10.5.1」を公開

アップルは11月14日、iTunesの更新版となる「iTunes 10.5.1」を公開した。ユーザーは早急にアップデートすることが推奨される。

バージョン「10.5」には、ソフトウェアアップデートを装い、ニセの更新ファイルをユーザーに仕掛ける「中間者攻撃」に悪用される可能性のある脆弱性が確認されていた。この脆弱性は、iTunesが定期的にソフトウェアの更新チェックを行う際、Windows版において「Apple Software Update for Windows」がインストールされていない場合に、悪意ある攻撃者がアップロードのプロセスに割り込んで攻撃を仕掛ける危険性があるというものだ。

アップルは、今回の更新により、アップデートの有無をチェックする際にセキュアな接続を使うことによってこの問題を解決したという。なお、Mac OS XではApple Software UpdateがOSに組み込まれているためこの脆弱性の影響を受けないが、多重防御の観点から、今回のアップデートによってさらに防御を強化したということだ。

なお、「iTunes」については、ユーザーが知らない間にソフトを勝手に購入されるトラブルが今年7月以降に国内で4,000件近く発生したことが報じられている。記事では、パスワードを定期的に変更することや、複数のサービスで同じパスワードを使わないなどといった、ID、パスワードの適切な管理を呼びかけている。

・(英文)About the security content of iTunes 10.5.1
・AppleがiTunesの更新版をリリース、中間者攻撃の脆弱性に対処(ITmedia)
・「ｉＴｕｎｅｓ」不正利用が多発(NHK「かぶん」ブログ)