Bien qu’Apple ait retiré iTunes pour Mac en 2019 avec la sortie de macOS Catalina, son héritage perdure pour les utilisateurs de Windows. Malheureusement, cet héritage inclut également de nombreux problèmes de sécurité dont les applications Windows peuvent être victimes.
Plus tôt cette semaine, les chercheurs ont découvert une tempête parfaite de vulnérabilités qui pourraient faire d’iTunes pour Windows un risque sérieux pour la sécurité. Bien que le processus d’exploitation soit un peu compliqué, il s’agissait toujours d’une porte ouverte dont les logiciels malveillants potentiels pourraient profiter.
La faille a été découverte par Zeeshan Shaikh du Synopsys Cybersecurity Research Center (CyRC), qui a publié quelques détails sur le problème après qu’Apple a publié iTunes 12.12.9 pour corriger le problème.
« L’application iTunes crée un dossier, SC Info, dans le répertoire C:ProgramDataApple ComputeriTunes en tant qu’utilisateur système et donne un contrôle total sur ce répertoire à tous les utilisateurs. Après l’installation, le premier utilisateur à exécuter l’application iTunes peut supprimer le dossier SC Info, créer un lien vers le dossier système Windows et recréer le dossier en forçant une réparation MSI, qui peut être utilisée ultérieurement pour obtenir le niveau SYSTÈME Windows. accès.”
La mise à jour iTunes 12.12.9 a été discrètement publiée par Apple vers le 23 mai, avec des correctifs pour deux problèmes de sécurité qui pourraient permettre aux applications d’élever les privilèges, en résolvant le”problème logique avec des contrôles améliorés”. La découverte de l’une des deux failles a été attribuée à Shaikh de Synopsys, tandis que la seconde a été découverte par”ycdxsb”de VARAS@IIE.
On ne sait pas jusqu’où remonte cette vulnérabilité, mais c’est sûr de dire qu’il englobe probablement toutes les versions d’iTunes 12 avant le correctif 12.12.9. Par conséquent, si vous n’avez pas encore mis à jour iTunes pour Windows, vous devez le faire immédiatement.
Vous devrez télécharger la dernière version via le Microsoft Store, car la plus récente La version proposée par Apple en téléchargement direct depuis son site Web est iTunes 12.10.11, qui inclut très probablement encore la vulnérabilité en question.
Selon Chronologie du synopsis, il a découvert la vulnérabilité pour la première fois en septembre 2022 et l’a signalée à Apple, qui a confirmé son existence en novembre et a publié un correctif en mai. On ne sait pas pourquoi il a fallu si longtemps pour répondre, mais comme il n’y a aucune preuve que ce problème ait jamais été exploité, il s’agissait probablement d’une priorité moindre pour Apple. Là encore, cela peut être dit pour iTunes pour Windows dans son ensemble.
Il y a eu des rumeurs persistantes au cours des dernières années selon lesquelles Apple diviserait finalement iTunes sur Windows, tuant son application gonflée et monolithique en faveur d’applications Musique, TV, Podcast et Livres distinctes, un peu comme sur Mac.
Malheureusement, aucun de ceux-ci ne s’est jamais concrétisé, et la plate-forme Windows est encore plus en retard sur le Mac en ce qui concerne les applications propriétaires d’Apple, n’ayant même jamais obtenu l’application autonome Apple Books qui est arrivée à le Mac comme iBooks en 2013. L’automne dernier, Apple a publié une version”aperçu”de son application TV sur la boutique Microsoft ; cependant, c’est probablement uniquement parce qu’il était plus facile de créer une nouvelle application autonome que de mettre à jour iTunes pour ajouter la prise en charge de la diffusion de contenu Apple TV+ sur Windows.
Maintenant que cette vulnérabilité a été publiée, les utilisateurs Windows exécutant iTunes ne sont plus plus protégé par la « sécurité par l’obscurité ». Les mauvais acteurs commenceront sans aucun doute à utiliser ces nouvelles connaissances pour créer des logiciels malveillants qui pourraient cibler les anciennes versions d’iTunes, ce qui rendra beaucoup plus critique l’utilisation de la dernière version d’iTunes.