Η Apple ήταν ενήμερη για ευπάθεια στο iTunes
εδώ και τρία χρόνια και επιτέλους την επιδιόρθωσε στην αναβάθμιση
10.5.1, που εξέδωσε στα μέσα Νοεμβρίου. Σύμφωνα με τον ειδικό ασφάλειας
BrianKrebs, ο FranciscoAmato είχε ενημερώσει την Apple από το καλοκαίρι
του 2008 για το συγκεκριμένο θέμα.
Η ευπάθεια βρισκόταν ουσιαστικά στον τρόπο με τον οποίο οι χρήστες
αναβάθμιζαν το λογισμικό των iTunes. Συγκεκριμένα πριν την έκδοση iTunes
10.5.1, οι αναβαθμίσεις στους χρήστες γίνονταν
μέσω ενός μη κρυπτογραφημένου ερωτήματος HTTP και επέτρεπαν σε έναν
εισβολέα, που έλεγχε το δίκτυο του χρήστη, να μετατρέψει το δικό του
λογισμικό iTunes σε έγκυρο, ύστερα από την αναβάθμιση.
Η ευπάθεια είχε προβληθεί μέσω της εταιρείας Fin Fisher, ως μέθοδος για να εγκαταστήσει spyware σε συστήματα-στόχους.
