アップルコンピュータは米国時間6月29日、整数オーバーフローの脆弱性を修正した「iTunes 6.0.5」を公開した。対象となるのはWindowsXP/2000と、Mac OS X 10.2.8以降。フランスのセキュリティベンダーFrSIRTでは、今回修正された脆弱性の危険度を最も高い「Critical」としている。
同脆弱性は、不正なAAC(Advanced Audio Coding)形式のオーディオファイルの処理でエラーが発生するもの。この脆弱性を悪用されると、細工を施されたAACファイルを通じて、iTunesが強制終了したり、任意のコードを実行されたりする恐れがある。
「iTunes 6.0.5」では脆弱性の修正のほか、新機能として、スポーツシューズのナイキとの提携商品「Nike+iPod」のワークアウトデータを同期する機能が追加された。
アップルでは同日、iPodの複数の不具合を修正するソフトウェア「iPod Updater 2006-06-28」も公開した。iPod nano用ソフトウェアでは前出の「Nike+iPod」に対応している。
(2006/07/06 ネットセキュリティニュース)
■iTunes 6.0.5 のセキュリティコンテンツについて(アップル)
http://docs.info.apple.com/article.html?artnum=303952-ja
■iTunes - ダウンロード(アップル)
http://www.apple.com/jp/itunes/download/
■iPod - ダウンロード(アップル)
http://www.apple.com/jp/ipod/download/
■Apple iTunes Advanced Audio Coding File Handling Integer Overflow Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2006/2601