Aunque Apple retiró iTunes para Mac en 2019 con el lanzamiento de macOS Catalina, su legado sigue vivo para los usuarios de Windows. Lamentablemente, ese legado también incluye muchos de los problemas de seguridad de los que pueden ser víctimas las aplicaciones de Windows.
A principios de esta semana, los investigadores descubrieron una tormenta perfecta de vulnerabilidades que podrían convertir a iTunes para Windows en un grave riesgo de seguridad. Si bien el proceso para explotar esto fue un poco complicado, todavía era una puerta abierta que el malware potencial podría aprovechar.
La falla fue descubierta por Zeeshan Shaikh del Synopsys Cybersecurity Research Center (CyRC), que publicó algunos detalles sobre el problema después de que Apple lanzara iTunes 12.12.9 para solucionar el problema.
“La aplicación iTunes crea una carpeta, SC Info, en el directorio C:ProgramDataApple ComputeriTunes como usuario del sistema y otorga control total sobre este directorio a todos los usuarios. Después de la instalación, el primer usuario que ejecute la aplicación iTunes puede eliminar la carpeta SC Info, crear un enlace a la carpeta del sistema de Windows y volver a crear la carpeta forzando una reparación de MSI, que luego se puede usar para obtener el nivel de SISTEMA de Windows acceso.”
La actualización de iTunes 12.12.9 fue silenciosamente lanzada por Apple alrededor del 23 de mayo, con parches para dos problemas de seguridad que podrían permitir que las aplicaciones eleven los privilegios, abordando el”problema de lógica con controles mejorados”. El descubrimiento de una de las dos fallas fue atribuido a Shaikh de Synopsys, mientras que la segunda fue descubierta por”ycdxsb”de VARAS@IIE.
No está claro a qué fecha se remonta esta vulnerabilidad, pero es es seguro decir que probablemente abarque todas las versiones de iTunes 12 antes de la corrección 12.12.9. Por lo tanto, si aún no ha actualizado iTunes para Windows, debe hacerlo de inmediato.
Deberá descargar la última versión a través de Microsoft Store, ya que la más reciente La versión que Apple ofrece para descarga directa desde su sitio web es iTunes 12.10.11, que muy probablemente todavía incluye la vulnerabilidad en cuestión.
Según La cronología de Synopsis descubrió la vulnerabilidad por primera vez en septiembre de 2022 y la informó a Apple, que confirmó su existencia en noviembre y lanzó un parche en mayo. No está claro por qué tardó tanto en responder, pero dado que no hay evidencia de que este problema haya sido explotado alguna vez, probablemente era una prioridad menor para Apple. Por otra parte, eso se puede decir de iTunes para Windows en su conjunto.
Ha habido rumores persistentes en los últimos años de que Apple finalmente dividiría iTunes en Windows, matando su aplicación inflada y monolítica a favor de aplicaciones separadas de Música, TV, Podcast y Libros, como se hace en la Mac.
Lamentablemente, ninguno de ellos ha llegado a buen término, y la plataforma Windows está aún más rezagada que la Mac en lo que respecta a las aplicaciones propias de Apple, ya que ni siquiera obtuvo la aplicación independiente Apple Books que llegó a la Mac como iBooks en 2013. El otoño pasado, Apple lanzó una versión de”vista previa”de su aplicación de TV en la tienda de Microsoft; sin embargo, es probable que solo se deba a que fue más fácil crear una nueva aplicación independiente que actualizar iTunes para agregar compatibilidad con la transmisión de contenido de Apple TV+ en Windows.
Ahora que se ha publicado esta vulnerabilidad, los usuarios de Windows que ejecutan iTunes ya no protegido por la”seguridad a través de la oscuridad”. Sin duda, los delincuentes comenzarán a usar este nuevo conocimiento para crear malware que podría tener como objetivo versiones anteriores de iTunes, lo que hace que sea mucho más crítico asegurarse de que está ejecutando la última versión de iTunes.
