米アップルは2007年11月12日(米国時間)、同社の携帯機器「iPod touch」や「iPhone」のセキュリティアップデートを公開した。アップデートを適用すれば、2007年10月に公表されている危険な脆弱(ぜいじゃく)性を修正できる。アップデートは、同社の音楽再生ソフト「iTunes」を通じてのみ適用可能。
セキュリティアップデートで修正される脆弱性は、iPod touchおよびiPhoneに搭載されている、TIFF形式画像を処理するプログラム(ライブラリ)に関するもの。このプログラムには、特定の画像ファイルを適切に処理できない問題がある。
このため、細工が施されたTIFF画像をiPod touch、iPhoneが搭載するWebブラウザー「Safari」などで読み込むと、Safariが不正終了したり、画像内の悪質なプログラムを実行されたりする。その結果、iPod touchやiPhoneを攻撃者に乗っ取られる可能性もあるという。
この脆弱性は、第三者によって既に公表されている。それを受けて、デンマークのセキュニアやフランスFrSIRTといったセキュリティベンダー数社は、2007年10月12日にセキュリティ情報を公開して警告。例えばセキュニアでは、この脆弱性の危険度を、5段階評価で上から2番目の「Highly Critical」、FrSIRTでは4段階評価で最も危険な「Critical」に設定している。
今回のセキュリティアップデートを適用すれば、上記の脆弱性が解消されるとともに、iPod touchおよびiPhoneのバージョンが「1.1.2」にアップグレードされる。
なお、今回のアップデートはiTunesからのみ適用可能。iTunesはアップルのサーバーにアクセスして、今回のアップデートを自動的にダウンロードする。Mac OS X用の通常のセキュリティアップデートとは異なり、Mac OS Xの「ソフトウェア・アップデート」機能や、同社のダウンロードサイトから適用することはできない。
