Windows-käyttäjät haluavat varmistaa, että he käyttävät iTunesin uusinta versiota, iTunes 12.12.9:ää, saadakseen suojan äskettäin paljastuneelta tietoturva-aukolta.
Apple julkaisi iTunesin 12.12.9 23. toukokuuta, ja se korjaa ongelman, joka saattaa antaa haitallisille sovelluksille korkeammat oikeudet asentaa haittaohjelmia Windows-koneessa. Haavoittuvuutta käsiteltiin viime viikolla, mutta ongelman havainnut tietoturvayhtiö Synopsys tänään jakoi joitain yksityiskohtia sen toiminnasta.
iTunesilla oli etuoikeutettu kansio, jossa oli heikko pääsynhallinta, minkä ansiosta pahantahtoinen henkilö pystyi ohjaamaan kansion luomisen Windowsin järjestelmähakemistoon, mikä saattoi sitten käyttää korkeamman etuoikeutetun järjestelmäkuoren hankkimiseen.
iTunes-sovellus luo järjestelmän käyttäjänä kansion SC Info hakemistoon C:\ProgramData\Apple Computer\iTunes ja antaa tämän hakemiston täysi hallinta kaikille käyttäjille. Asennuksen jälkeen iTunes-sovelluksen ensimmäinen käyttäjä voi poistaa SC Info-kansion, luoda linkin Windows-järjestelmäkansioon ja luoda kansion uudelleen pakottamalla MSI-korjauksen, jota voidaan myöhemmin käyttää Windows-JÄRJESTELMÄN tason saavuttamiseen. pääsy.
Tämä haavoittuvuus vaikuttaa kaikkiin iTunesin versioihin 12.12.9:a vanhempia, joten iTunes-käyttäjien, jotka käyttävät ohjelmiston vanhempia versioita, tulee muistaa päivittää ne.
Synopsys havaitsi ongelman ensimmäisen kerran syyskuussa 2022 ja kertoi siitä Applelle siinä vaiheessa. Apple vahvisti haavoittuvuuden marraskuussa ja korjasi sen sitten toukokuussa. Apple ei sanonut, että tätä hyväksikäyttöä olisi tiedetty käytetyn luonnossa, joten se ei ole niin kriittinen kuin jotkut muut haavoittuvuudet, mutta on silti hyvä idea asentaa iTunesin uusin versio heti.
Suosittuja tarinoita
Google ilmoitti aiemmin tänä vuonna aikovansa yhdistää Drive File Stream-ja Backup and Sync-sovelluksensa yhdeksi Google Drive pöytäkoneille-sovellukseksi. Yhtiö sanoo nyt, että uusi synkronointiasiakas otetaan käyttöön”tulevien viikkojen aikana”, ja se on julkaissut lisätietoja siitä, mitä käyttäjät voivat odottaa siirtymiseltä. Yhteenvetona totean, että Googlen käyttämiseen on tällä hetkellä kaksi työpöytäsynkronointiratkaisua…
