Apple StoreのWebサイトに未解決のXSS脆弱性：ブラウザの環境が改ざんされる可能性

米AppleがWWDCで数々の新製品を発表した同じ日に、Apple StoreのWebサイトにクロスサイトスクリプティング（XSS）の脆弱性が報告されたとの報道があった。

[鈴木聖子，＠IT]

　米Appleは6月10日の年次開発者会議、WWDCにおいて、iOSデバイス向けの新しいOS「iOS 7」や無料のストリーミング音楽サービス「iTunes Radio」、「MacBook Air」の新モデルなどを発表した。

　一方同日、セキュリティ企業Kaspersky Labのニュースサービス「threatpost」は、Apple StoreのWebサイトに、クロスサイトスクリプティング（XSS）の脆弱性が報告されたと伝えている。

　threatpostによると、脆弱性はドイツの研究者が発見し、セキュリティメーリングリストのFull Disclosureに投稿した。コンセプト実証コードも公開し、MicrosoftのInternet Explorer（IE）8／10と、Google Chrome 27に対して通用することを確認したとしている。

　脆弱性を悪用されると、Apple Storeのメインページを閲覧したユーザーのブラウザ環境が改ざんされる恐れがあるとされる。

　研究者はこの問題について5月12日にAppleに連絡し、29日にはその後の状況について問い合わせたという。Appleからはすぐに返答があったものの、4週間たっても脆弱性が解決されなかったことから、6月7日付で公開に踏み切ったと説明している。