Apple、Windows版iTunesの脆弱性を修正

[鈴木聖子，ITmedia]

　米Appleは、5月15日に公開したiTunes更新版の「iTunes 11.2」で、Windows版に存在する1件の脆弱性に対処した。

　同社のセキュリティ情報によると、この脆弱性はcookie定義用のSet-Cookie HTTPヘッダの処理に関連して、ヘッダラインが完了する前に接続が途切れた場合でも、同ヘッダが処理されてしまう問題に起因する。

　この問題を悪用すると、セキュリティ設定が送信される前に強制的に接続を切断させることによってcookieのセキュリティ設定をはぎ取り、保護されていないcookieの値を入手することが可能になる。これにより、ネットワーク上で権限を持つユーザーがiTunesのログイン情報を入手できてしまう恐れがあるという。

　Windows版のiTunes 11.2はWindows 8、Windows 7、Vista、XP SP3以降に対応している。