Windows版の「Apple Software Update」ツールに脆弱性
2019年10月17日 09:34
セキュリティ企業Morphisecが、「Apple Software Update」ツールにゼロデイ脆弱性が存在し、これがランサムウェアによる攻撃に悪用されていたことを報告している。
このツールはWindows版のiTunesやiCloudに同梱されており、10月7日にリリースされたiTunes for Windows 12.10.1やiCloud 10.7、iCloud 7.14ではこの脆弱性が修正されているとのこと。
問題の脆弱性は「unquoted path vulnerability」(引用符で囲まれていないパス)の処理に関連するもので、悪意のあるユーザーがこれを悪用することで悪意のあるプログラムを実行させることができるという。また、Apple Software UpdateはiTunesなどをアンインストールしても残されるとのこと(別途アンインストール作業が必要となる)。そのため、多くのマシンにこのコンポーネントが存在している可能性があるという。