AppleがiTunesの更新版をリリース、中間者攻撃の脆弱性に対処

[鈴木聖子，ITmedia]

　米Appleは11月14日にリリースしたiTunesの更新版「iTunes 10.5.1」で、ソフトウェアアップデートを装った「中間者攻撃」に利用される恐れのある脆弱性に対処した。OSはMac OS X v10.5以降とWindows 7／Vista／XP SP2以降に対応している。

　同社のセキュリティ情報によれば、iTunesではAppleへのHTTPリクエストを使って定期的にソフトウェアアップデートの有無をチェックしているが、Windowsで「Apple Software Update」というツールがインストールされていない場合、「iTunesをダウンロード」のボタンをクリックすると、ユーザーがデフォルトで使っているWebブラウザのHTTPレスポンスからURLを開いてしまう恐れがあった。

　この問題はアルゼンチンのセキュリティ企業Infobyteの研究者が発見したもので、悪用された場合、攻撃者がアップデートのプロセスに介入する中間者攻撃を仕掛けられる恐れが指摘されていた。

　Appleでは、アップデートの有無をチェックする際にセキュアな接続を使うことによってこの問題を解決したとしている。Mac OS XではApple Software UpdateがOSに組み込まれているためWebブラウザが使われることはないが、この変更によってさらに防御が強化されるとした。