「Apple iTunes」に任意のソフトをインストールされる脆弱性(JVN)
IPA/ISECとJPCERT/CCは、アップルが「iTunes」向けのアップデートを公開したことを受け、注意喚起を発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「Apple iTunes 10.5.1 より前のバージョン」には、中間者攻撃(man-in-the-middle attack)によって任意のソフトウェアをiTunesのアップデートに見せかけられる脆弱性(CVE-2008-3434)が存在する。JVNでは、Appleが提供する情報をもとにアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》