Windows版の「Apple Software Update」ツールに脆弱性

　セキュリティ企業Morphisecが、「Apple Software Update」ツールにゼロデイ脆弱性が存在し、これがランサムウェアによる攻撃に悪用されていたことを報告している。

　このツールはWindows版のiTunesやiCloudに同梱されており、10月7日にリリースされたiTunes for Windows 12.10.1やiCloud 10.7、iCloud 7.14ではこの脆弱性が修正されているとのこと。

　問題の脆弱性は「unquoted path vulnerability」（引用符で囲まれていないパス）の処理に関連するもので、悪意のあるユーザーがこれを悪用することで悪意のあるプログラムを実行させることができるという。また、Apple Software UpdateはiTunesなどをアンインストールしても残されるとのこと（別途アンインストール作業が必要となる）。そのため、多くのマシンにこのコンポーネントが存在している可能性があるという。

　スラドのコメントを読む | アップルセクション | セキュリティ | アップル | Windows

　関連ストーリー：
GNOMEのファイルマネージャーで任意のVBScriptコードを実行可能なバグ「Bad Taste」 2017年07月22日
Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ 2015年11月19日
Appleは最も脆弱性の多いソフトウェアベンダーであるという指摘 2015年10月29日
40以上のWindowsアプリケーションに深刻な脆弱性がある？ 2010年08月23日