iTunes no Windows tem uma falha de segurança
Pesquisadores encontraram uma vulnerabilidade no iTunes para Windows que permite aos usuários aumentar os privilégios do sistema, e os usuários do Windows devem atualizar o aplicativo.
No final de 2022, o Synopsys Cybersecurity Research Center (CyRC) descobriu uma vulnerabilidade de segurança na versão para Windows do aplicativo iTunes. Explorá-lo pode levar ao escalonamento de privilégios locais para obter privilégios no nível do sistema.
Privilégios de usuário, também conhecidos como permissões, definem o que uma conta de usuário pode fazer em um sistema de computador. Eles são uma parte essencial da segurança do sistema, garantindo que os usuários possam realizar tarefas sem comprometer a segurança do sistema.
Os privilégios podem incluir a capacidade de abrir arquivos, alterar ou excluir dados ou modificar as configurações do sistema. Os usuários com privilégios administrativos podem fazer mais, como instalar novos aplicativos e gerenciar contas de usuário.
Com esta vulnerabilidade, alguém com privilégios de usuário limitados em um computador Windows, executando especificamente versões específicas do iTunes, pode explorar o sistema para adquirir privilégios elevados. Isso pode permitir que uma pessoa mal-intencionada obtenha acesso não autorizado a dados confidenciais, altere ou exclua dados que não deveriam ou lance ataques em outros computadores na mesma rede.
O software iTunes cria uma pasta (“SC Info”) no sistema Windows. Somente o sistema deve usar esta pasta, mas o iTunes dá a todos os usuários controle total sobre ela.
Se um usuário excluir esta pasta e criar um link de onde a pasta estava para a pasta do sistema Windows, isso forçará um processo de reparo do sistema que recria a pasta.
Essa nova pasta, vinculada à pasta do sistema, dá aos assaltantes acesso de alto nível ao sistema Windows.
Como se proteger do bug do iTunes
A equipe da Synopsys já relatou a vulnerabilidade à Apple, rastreada como CVE-2023-32353 no banco de dados de falhas de segurança de computador divulgadas publicamente conhecidas como vulnerabilidades e exposições comuns. Como resultado, a Apple lançou um patch em 23 de maio.
Ele afeta as versões do iTunes no Windows antes de 12.12.9, e os usuários são aconselhados a instalar a atualização o mais rápido possível.
