デンマークSecuniaなどは現地時間1月12日,米Apple Computerの音楽再生/編集ソフト「iTunes 4.x」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたプレイリストを読み込むと,iTunesがハングアップしたり,任意のプログラムを実行させられたりする。対策は,最新版のiTunes 4.7.1にバージョンアップすること。

 今回,iTunes 4.xがプレイリストの取り扱う部分にセキュリティ・ホールがあることが明らかとなった。具体的には,「.m3u」および「.pls」形式のプレイリストを取り扱うプログラム部分に,未チェックのバッファが存在する。

 このため,細工が施された「.m3u」あるいは「.pls」形式のプレイリストをiTunesで読む込むと,バッファ・オーバーフローが発生してiTunesがハングアップする。また,そのプレイリストに仕込まれたプログラムを実行させられる可能性もある。

 対策は,セキュリティ・ホールを修正したiTunes 4.7.1にバージョンアップすること。バージョン4.7.1はダウンロードのページから入手可能。Mac OS X環境では,「ソフトウェア・アップデート」機能を使ってバージョンアップできる。

◎参考資料
Apple iTunes Playlist Handling Buffer Overflow Vulnerability(Secunia)
Download iTunes(アップルコンピュータ)

(勝村 幸博=IT Pro)