Apple の iTunes 10.5.1 アップデートは、ユーザーを騙して悪意のある Web サイトにアクセスさせるために悪用される可能性のある、アプリケーションの更新メカニズムの脆弱性に対処しています。
この脆弱性は、古いバージョンのiTunesがAppleのサーバーに新しいアップデートを問い合わせる際に、プレーンHTTPリクエストを使用していることに起因しています。このような接続は暗号化されていないため、ネットワーク攻撃者がリクエストを傍受し、不正なアップデートURLを返す可能性があります。
この中間者攻撃の手法は目新しいものではなく、ここ数年、セキュリティ研究コミュニティで徹底的に議論されてきました。アップデートプロセスの安全性を確保するためには、企業は暗号化された接続を使用し、自動アップデートの場合はコード署名も強制する必要があります。
この特定の攻撃シナリオは、iTunes が Windows システムにインストールされており、Apple Software Update コンポーネントが存在しない場合にのみ発生する可能性があります。
アップデートが利用可能な場合、iTunesに表示されるダウンロードボタンは通常、このコンポーネントを起動します。これは、企業製品のアップデートをダウンロードしてインストールするための専用ツールです。このコンポーネントが利用できない場合は、システムのデフォルトブラウザでアップデートのダウンロードURLが開きます。
この動作は、ソーシャルエンジニアリング攻撃の大きな脅威となります。ハッカーはAppleのウェブサイトを偽装して悪意のあるファイルを提供することができるからです。さらに、この偽装ウェブページは、ブラウザプラグインやブラウザ自体の未修正の脆弱性を悪用するように設定され、ユーザーの操作なしに悪意のあるファイルをダウンロードさせる可能性があります。
iTunes 10.5.1では、Appleはアップデートの確認にHTTPS(HTTP Secure)接続を使用しているため、攻撃者がレスポンスを改ざんすることは不可能です。Macユーザーは、Apple Software UpdateがAppleのOSにデフォルトで含まれているため、この脆弱性の影響を受けません。
この中間者攻撃の脆弱性に対処することに加えて、iTunes 10.5.1 では、Apple の新しいクラウドベースの音楽ファイル マッチング サービスである iTunes Match も導入されています。
