早く直さないとバグがボンジュール(こんにちは)してしまいます。
正式にリリースされたmacOS Catalinaに伴い、MacユーザーのiTunesは死んでしまいました。一方で、Windows上でiTunesを使っている人はどれほどいるでしょうか?
Appleは月曜日、iTunesを実行しているWindows PCに「BitPaymer」というランサムウェアを悪意のある第三者によってインストールされてしまう可能性があるゼロデイ脆弱性(セキュリティー上未対応の脆弱性)を修正するパッチをリリースしました。
実は15年以上の歴史を持つ脆弱性だった
この脆弱性は、サイバーセキュリティー企業Morphisecが発見したもの。それについて報告しているブログでは、原因はiTunesに内包されている「Bonjour」において引用符で囲まれていないパスが原因の脆弱性であると指摘しています。簡単に言ってしまえば推奨されているコード記述方法に沿っていなかったため生み出された脆弱性です。
実は、この脆弱性を抱えているプログラムは、iTunesだけではありません。Mophiesecによると、このバグはIntel Management Engine、ExpressVPN、ForcePoint VPNなど、過去15年以上に渡りほかのプログラムでも見つかっているとのことでした。
感染報告もある
8月のこと、この脆弱性が利用され、とある自動車関連企業のコンピューターにBitPaymerランサムウェアがインストールされました(BitPaymerは、感染したコンピュータ上のファイルを暗号化し、アクセスを回復するために支払いを要求するランサムウェアの一種です)。
Morphisecによりますと、BonjourユーティリティーはiTunesと別にインストールされるのだそうです。つまり、iTunesをアンインストールしたからといって、Bonjourをアンインストールしたことにはならないのです。
その結果、Morphisecは何年も前にiTunesを削除した多くのコンピューターのバックグラウンドで、Bonjourが静かに動いているのを発見したのでした。
今すぐアップデート or 削除を!
ということで、WindowsユーザーはiTunes 12.10 .1およびWindows 7.14版のiCloudにアップデートされていることを確認する必要があります。また、PCからiTunesを削除した場合でも、Bonjourを検索し、削除していない場合はアンインストールする必要があります。
Mophiesecはブログの中で、Appleにはまだほかにいくつかの脆弱性があることを公表しましたが、とりあえずこの問題だけが修正されたと伝えています。
Source: CYBERSECURITY BLOG, Common eXploits, Symantec, ars TECHNICA
