ニュース
Windows版iTunes/iCloudに脆弱性。アンインストール後も危険な場合も
2019年10月11日 13:15
セキュリティ会社のMorphisecは、Windows向けのiTunesとiCloudアプリにランサムウェアが仕組まれてしまう脆弱性を発見したことを報告している。
Morphisecによれば、BitPaymerやiEncryptといったランサムウェアによるゼロデイ攻撃を可能にする脆弱性が、Windows向けのiTunesとiCloudアプリをインストールしたさいに同時に導入されるBonjourに発見された。Bonjourはネットワーク機能の橋渡しなどに使われており、バックグラウンドで動作して、低レベルのネットワークタスク、アップデートの自動ダウンロードといった作業を行なう。
今回の脆弱性はBonjourの引用符なしサービスパスを悪用したもので、実行ファイルのパスにスペースがあり、引用符("")で囲まれていない場合に発生する、一般的なソフトウェアにあるセキュリティ上の欠陥を利用。これにより、悪意のある実行ファイルを親パスに指定でき、信頼できるアプリとしてシステムを欺いて永続性を持たせ、検出から逃れることができる。
Morphisecの研究者によると、攻撃されたPCにおいて、BonjourはProgram Filesのフォルダからの実行を試みていたが、引用符なしのパスであるため、代わりにProgramと名付けられていたランサムウェアのBitPaymerが実行されていたという。
Morphisecはこの脆弱性を8月にAppleに伝え、Appleは10月7日にアップデートをリリースしているが(ページ下部参照)、過去に同アプリを削除していた場合でもBonjourが残っていないか確認し、残っていた場合は手動で消すなどの対応が必要になる。