アップルは14日、iTunesの最新版「10.5.1」を公開した。10.5.1では、アップデートを実行しようとした際に、更新ファイルを装う偽のファイルをダウンロードさせられてしまうおそれのある、アップデートプロセスの脆弱性1件が修正されている。対象は、Windows 7/Vista/XP(SP2以降)とMac OS X 10.5以降。
脆弱性は、iTunes 10.5.0以前のバージョンに存在している。iTunesには定期的に更新プログラムの有無をチェックする機能があり、更新プログラムが見つかった場合には「Apple Software Update」が起動して、アップデートの制御がそちらに渡る仕組みとなっている。
しかし、「Apple Software Update」がインストールされていないWindowsパソコンでは、更新プログラムが見つかった場合、ユーザーがデフォルトで使用しているブラウザでiTunesのダウンロードページが開かれ、ユーザーが自ら「ダウンロード」ボタンを押してダウンロード/インストールを行うことになる。脆弱性の影響を受けるのはこちらの場合で、悪質なサイトに誘導されて、偽の更新ファイルをダウンロードさせられるおそれがあった。
アップルでは、更新プログラムの有無を確認する際に保護された安全な接続を使うことによって、この問題を解決した。Mac OS Xでは、「Apple Software Update」がもともと組み込まれているため、この問題は発生しない。しかし、多重防御の観点から、OS X用のiTunesについても問題を修正したという。
iTunesの最新版は、iTunesのヘルプメニューから入手できる。手動で「Apple Software Update」を起動して入手することも可能。また、アップルのサイトから最新版をダウンロードすることもできる。
(2011/11/16 ネットセキュリティニュース)
【関連URL:アップル】
・About the security content of iTunes 10.5.1[英文]
http://support.apple.com/kb/HT5030
・iTunes 10.5.1
http://support.apple.com/kb/DL1426?viewlocale=ja_JP&locale=ja_JP
・iTunes 10.5.1 - Windows(64 bit)
http://support.apple.com/kb/DL1427?viewlocale=ja_JP&locale=ja_JP