セキュリティ企業Morphisecが、「Apple Software Update」ツールにゼロデイ脆弱性が存在し、これがランサムウェアによる攻撃に悪用されていたことを報告している。

このツールはWindows版のiTunesやiCloudに同梱されており、10月7日にリリースされたiTunes for Windows 12.10.1やiCloud 10.7、iCloud 7.14ではこの脆弱性が修正されているとのこと。

問題の脆弱性は「unquoted path vulnerability」（引用符で囲まれていないパス）の処理に関連するもので、悪意のあるユーザーがこれを悪用することで悪意のあるプログラムを実行させることができるという。また、Apple Software UpdateはiTunesなどをアンインストールしても残されるとのこと（別途アンインストール作業が必要となる）。そのため、多くのマシンにこのコンポーネントが存在している可能性があるという。

Anonymous Coward曰く、

iOS 12.2ベータ2以降では、詐欺サイトの確認のためにWebサイトの閲覧前にそのアドレスを「Tencent Safe Browsing」に送信するようになっているという（iPhone Mania）。これはiOS 13でも同様だという。

設定アプリで「詐欺Webサイトの警告」がオフになってるスラドのプライバシーが硬い諸君には関係ない話だが。

今まで詐欺サイトの確認にはGoogle Safe Browsingが使われていたが、新たにTencent Safe Browsingも使われるようになったということのようだ。これに対しては、送信された情報がユーザーの特定や追跡などに使われる可能性があるのではないかとの危惧も出ている。