Windows-Benutzer sollten sicherstellen, dass sie die neueste Version von iTunes, iTunes 12.12.9, ausführen, um sich vor einer kürzlich aufgedeckten Sicherheitslücke zu schützen.
Apple hat iTunes veröffentlicht 12.12.9 am 23. Mai und behebt ein Problem, das es bösartigen Apps ermöglichen könnte, erhöhte Rechte zum Installieren von Malware zu erlangen auf einem Windows-Rechner. Während die Sicherheitslücke letzte Woche behoben wurde, hat Synopsys, das Sicherheitsunternehmen, das das Problem entdeckt hat, heute gab einige Details darüber bekannt, wie es funktionierte.
iTunes hatte einen privilegierten Ordner mit schwacher Zugriffskontrolle, was es einer böswilligen Person ermöglichte, die Ordnererstellung in das Windows-Systemverzeichnis umzuleiten, was dann möglich war verwendet werden, um eine höher privilegierte System-Shell zu erhalten.
Die iTunes-Anwendung erstellt einen Ordner, SC Info, im Verzeichnis C:\ProgramData\Apple Computer\iTunes als Systembenutzer und gibt ihn an allen Benutzern die volle Kontrolle über dieses Verzeichnis. Nach der Installation kann der erste Benutzer, der die iTunes-Anwendung ausführt, den SC-Info-Ordner löschen, einen Link zum Windows-Systemordner erstellen und den Ordner neu erstellen, indem er eine MSI-Reparatur erzwingt, die später zum Erreichen der Windows-SYSTEM-Ebene verwendet werden kann Zugriff.
Alle Versionen von iTunes vor 12.12.9 sind von dieser Sicherheitslücke betroffen. Daher sollten iTunes-Benutzer, die ältere Versionen der Software ausführen, unbedingt ein Update durchführen.
Synopsys entdeckte das Problem erstmals im September 2022 und informierte Apple zu diesem Zeitpunkt darüber. Apple bestätigte die Sicherheitslücke im November und reparierte sie dann im Mai. Apple hat nicht gesagt, dass dieser Exploit bekanntermaßen in freier Wildbahn genutzt wurde, daher ist er nicht so kritisch wie einige andere Schwachstellen, es ist jedoch dennoch eine gute Idee, sofort die neueste Version von iTunes zu installieren.
Beliebte Geschichten
Anfang des Jahres gab Google bekannt, dass es plant, seine Drive File Stream-und Backup & Sync-Apps in einer einzigen Google Drive für Desktop-App zu vereinen. Das Unternehmen gibt nun bekannt, dass der neue Synchronisierungsclient „in den kommenden Wochen“ eingeführt wird, und hat zusätzliche Informationen darüber veröffentlicht, was Benutzer von der Umstellung erwarten können. Um es noch einmal zusammenzufassen: Es gibt derzeit zwei Desktop-Synchronisierungslösungen für die Verwendung von Google…