Vaikka Apple poisti iTunes for Macin käytöstä vuonna 2019 macOS Catalinan julkaisun myötä, sen perintö elää edelleen Windows-käyttäjille. Valitettavasti tämä perintö sisältää myös monia tietoturvaongelmia, joiden uhriksi Windows-sovellukset voivat joutua.
Aiemmin tällä viikolla tutkijat löysivät täydellisen haavoittuvuuksien myrskyn, joka voi muuttaa iTunes for Windows-sovelluksen vakavaksi tietoturvariskiksi. Vaikka tämän hyödyntämisprosessi olikin hieman mutkikas, se oli silti avoin ovi, jota mahdolliset haittaohjelmat saattoivat hyödyntää.
Vian paljasti Zeeshan Shaikh Synopsys Cybersecurity Research Centeristä (CyRC), joka julkaisi joitakin yksityiskohtia ongelmasta sen jälkeen, kun Apple julkaisi iTunes 12.12.9:n korjatakseen ongelman.
“iTunes-sovellus luo kansion, SC Info, C:ProgramDataApple ComputeriTunes-hakemistoon järjestelmäkäyttäjänä ja antaa täyden hallinnan tälle hakemistolle kaikille käyttäjille. Asennuksen jälkeen iTunes-sovelluksen ensimmäinen käyttäjä voi poistaa SC Info-kansion, luoda linkin Windows-järjestelmäkansioon ja luoda kansion uudelleen pakottamalla MSI-korjauksen, jota voidaan myöhemmin käyttää Windows-JÄRJESTELMÄN tason saavuttamiseen. pääsy.”
Apple hylkäsi iTunes 12.12.9-päivityksen hiljaisesti 23. toukokuuta, jossa on korjaustiedostoja kahdelle tietoturvaongelmalle, joiden avulla sovellukset voivat nostaa käyttöoikeuksia, mikä ratkaisee”logiikkaongelman parannetulla tarkistuksella”. Synopsysin Shaikhin ansioksi jommankumman viasta löytyi, kun taas toisen havaitsi VARAS@IIE:n”ycdxsb”.
On epäselvää, kuinka pitkälle tämä haavoittuvuus juontaa juurensa, mutta se on On turvallista sanoa, että se kattaa todennäköisesti kaikki iTunes 12:n versiot ennen 12.12.9-korjausta. Siksi, jos et ole vielä päivittänyt iTunes for Windowsia, sinun tulee tehdä se välittömästi.
Sinun on ladattava uusin versio Microsoft Storesta uusimpana versiona. Applen tarjoama versio suoraan ladattavaksi verkkosivuiltaan on iTunes 12.10.11, joka todennäköisesti sisältää edelleen kyseisen haavoittuvuuden.
Synopsiksen aikajanalla se havaitsi haavoittuvuuden ensimmäisen kerran syyskuussa 2022 ja ilmoitti siitä Applelle, joka vahvisti sen olemassaolon marraskuussa ja julkaisi korjaustiedoston toukokuussa. On epäselvää, miksi vastaaminen kesti niin kauan, mutta koska ei ole todisteita siitä, että tätä ongelmaa olisi koskaan hyödynnetty, se oli todennäköisesti Applen alempi prioriteetti. Toisaalta, tämä voidaan sanoa iTunes for Windowsista kokonaisuudessaan.
Viime vuosien aikana on ollut jatkuvia huhuja siitä, että Apple lopulta hajottaisi iTunesin Windowsissa, mikä tappaa sen paisuneen ja monoliittisen sovelluksen eduksi. erillisistä Music-, TV-, Podcast-ja Books-sovelluksista, aivan kuten se tehdään Macissa.
Valitettavasti mikään niistä ei ole koskaan toteutunut, ja Windows-alusta on vielä enemmän jäljessä Macista Applen ensimmäisen osapuolen sovelluksissa, koska se ei ole koskaan hankkinut edes itsenäistä Apple Books-sovellusta, joka tuli Macin iBooks vuonna 2013. Viime syksynä Apple julkaisi”esikatseluversion”TV-sovelluksestaan Microsoft Storesta; Tämä johtuu kuitenkin todennäköisesti vain siitä, että oli helpompi luoda uusi erillinen sovellus kuin päivittää iTunes lisäämään tuki Apple TV+-sisällön suoratoistolle Windowsissa.
Nyt kun tämä haavoittuvuus on julkaistu, iTunesia käyttävät Windows-käyttäjät eivät ole pidempään suojattu”turvallisuudesta epäselvyyden kautta”. Huonot näyttelijät alkavat epäilemättä käyttää tätä uutta tietoa sellaisten haittaohjelmien luomiseen, jotka voivat kohdistaa iTunesin vanhempiin versioihin, mikä tekee iTunesin uusimman version varmistamisesta paljon tärkeämpää.
