儘管 Apple 在 2019 年發布了 macOS Catalina 後讓 Mac 版 iTunes 停用了,但它的遺產對 Windows 用戶來說仍然存在。遺憾的是,這一遺留問題還包括許多 Windows 應用程序可能成為受害者的安全問題。
本週早些時候,研究人員發現了一場完美的漏洞風暴,可能會使 iTunes for Windows 成為嚴重的安全風險。雖然利用此漏洞的過程有點複雜,但它仍然是潛在惡意軟件可以利用的大門。
該漏洞由 Synopsys 網絡安全研究中心 (CyRC) 的 Zeeshan Shaikh 發現,在 Apple 發布 iTunes 12.12.9 以修補該問題後發布了有關該問題的一些詳細信息。
“iTunes 應用程序以系統用戶身份在 C:ProgramDataApple ComputeriTunes 目錄中創建一個名為 SC Info 的文件夾,並向所有用戶授予對該目錄的完全控制權。安裝後,第一個運行 iTunes 應用程序的用戶可以刪除 SC Info 文件夾,創建一個指向 Windows 系統文件夾的鏈接,並通過強制 MSI 修復重新創建該文件夾,稍後可用於獲得 Windows SYSTEM 級別
iTunes 12.12.9 更新 Apple 在 5 月 23 日左右悄悄推出,帶有兩個安全問題的補丁,可能允許應用程序提升權限,解決“改進檢查的邏輯問題”。這兩個漏洞之一的發現歸功於 Synopsys 的 Shaikh,而第二個是由 VARAS@IIE 的“ycdxsb”發現的。
目前尚不清楚該漏洞的歷史有多遠,但它是可以肯定地說,它可能包含 12.12.9 修復之前的所有版本的 iTunes 12。因此,如果您還沒有更新 Windows 版 iTunes,您應該立即更新。
您需要通過 Microsoft Store 下載最新版本,因為 最新Apple 提供的可從其網站直接下載的版本是 iTunes 12.10.11,該版本很可能仍包含相關漏洞。
根據 概要時間軸,它於 2022 年 9 月首次發現該漏洞並向 Apple 報告,Apple 於 11 月確認其存在並於 5 月發布了補丁。目前還不清楚為什麼這麼長時間才做出回應,但由於沒有證據表明這個問題曾被利用過,因此蘋果可能不會優先考慮這個問題。話又說回來,對於整個 Windows 版 iTunes 來說也是如此。
過去幾年一直有傳言稱蘋果最終將在 Windows 上拆分 iTunes,取而代之的是其臃腫的單一應用程序獨立的音樂、電視、播客和圖書應用程序,就像在 Mac 上完成的一樣。
可悲的是,這些都沒有實現,Windows 平台在 Apple 的第一方應用程序方面甚至遠遠落後於 Mac,甚至從未獲得獨立的 Apple Books 應用程序2013 年將 Mac 作為 iBooks。去年秋天,Apple 在微軟商店;然而,這可能只是因為創建新的獨立應用程序比更新 iTunes 以添加對在 Windows 上流式傳輸 Apple TV+ 內容的支持更容易。
現在這個漏洞已經發布,運行 iTunes 的 Windows 用戶不再不再受到“默默無聞的安全”的保護。壞人無疑會開始使用這些新知識來製作可能針對舊版本 iTunes 的惡意軟件,這使得確保您運行最新版本的 iTunes 變得更加重要。