Embora a Apple tenha retirado o iTunes para Mac em 2019 com o lançamento do macOS Catalina, seu legado continua vivo para os usuários do Windows. Infelizmente, esse legado também inclui muitos dos problemas de segurança dos quais os aplicativos do Windows podem ser vítimas.
No início desta semana, pesquisadores descobriram uma tempestade perfeita de vulnerabilidades que podem transformar o iTunes para Windows em um sério risco de segurança. Embora o processo de exploração fosse um pouco complicado, ainda era uma porta aberta que um malware em potencial poderia aproveitar.
A falha foi descoberta por Zeeshan Shaikh do Synopsys Cybersecurity Research Center (CyRC), que publicou alguns detalhes sobre o problema depois que a Apple lançou o iTunes 12.12.9 para corrigir o problema.
“O aplicativo iTunes cria uma pasta, SC Info, no diretório C:ProgramDataApple ComputeriTunes como um usuário do sistema e dá controle total sobre esse diretório a todos os usuários. Após a instalação, o primeiro usuário a executar o aplicativo iTunes pode excluir a pasta SC Info, criar um link para a pasta do sistema Windows e recriar a pasta forçando um reparo MSI, que pode ser usado posteriormente para obter o nível SISTEMA do Windows access.”
A atualização do iTunes 12.12.9 foi silenciosamente lançada pela Apple por volta de 23 de maio, com patches para dois problemas de segurança que podem permitir que os aplicativos elevem privilégios, abordando o “problema lógico com verificações aprimoradas”. A descoberta de uma das duas falhas foi creditada a Shaikh da Synopsys, enquanto a segunda foi descoberta por “ycdxsb” de VARAS@IIE.
Não está claro até onde essa vulnerabilidade vai, mas é é seguro dizer que provavelmente abrange todas as versões do iTunes 12 antes da correção 12.12.9. Portanto, se você ainda não atualizou o iTunes para Windows, deve fazê-lo imediatamente.
Você precisará baixar a versão mais recente na Microsoft Store, pois a versão mais recente A versão que a Apple oferece para download direto de seu site é o iTunes 12.10.11, que provavelmente ainda inclui a vulnerabilidade em questão.
De acordo com Linha do tempo da sinopse, descobriu a vulnerabilidade pela primeira vez em setembro de 2022 e a relatou à Apple, que confirmou sua existência em novembro e lançou um patch em maio. Não está claro o que levou tanto tempo para responder, mas como não há evidências de que esse problema tenha sido explorado, provavelmente era uma prioridade menor para a Apple. Então, novamente, isso pode ser dito para o iTunes para Windows como um todo.
Houve rumores persistentes nos últimos anos de que a Apple finalmente dividiria o iTunes no Windows, eliminando seu aplicativo inchado e monolítico em favor de aplicativos separados de Música, TV, Podcast e Livros, da mesma forma que é feito no Mac.
Infelizmente, nenhum deles jamais se concretizou, e a plataforma Windows fica ainda mais atrás do Mac quando se trata de aplicativos originais da Apple, sem nunca ter ganhado o aplicativo independente Apple Books que veio para o Mac como iBooks em 2013. No outono passado, a Apple lançou uma versão de”visualização”de seu aplicativo de TV em a Microsoft Store; no entanto, isso provavelmente ocorre apenas porque era mais fácil criar um novo aplicativo autônomo do que atualizar o iTunes para adicionar suporte para streaming de conteúdo do Apple TV+ no Windows.
Agora que esta vulnerabilidade foi publicada, os usuários do Windows que executam o iTunes não são mais protegidos pela “segurança através da obscuridade”. Agentes mal-intencionados, sem dúvida, começarão a usar esse novo conhecimento para criar malware que pode ter como alvo versões mais antigas do iTunes, tornando muito mais crítico garantir que você esteja executando a versão mais recente do iTunes.
