Hoewel Apple iTunes voor Mac in 2019 heeft stopgezet met de release van macOS Catalina, leeft de erfenis ervan voort voor Windows-gebruikers. Helaas omvat die erfenis ook veel van de beveiligingsproblemen waar Windows-apps het slachtoffer van kunnen worden.
Eerder deze week onderzoekers ontdekten een perfecte storm van kwetsbaarheden die iTunes voor Windows tot een ernstig beveiligingsrisico zouden kunnen maken. Hoewel het proces om dit te misbruiken een beetje ingewikkeld was, was het nog steeds een open deur waar potentiële malware misbruik van kon maken.
De fout werd ontdekt door Zeeshan Shaikh van het Synopsys Cybersecurity Research Center (CyRC), dat enkele details over het probleem gepubliceerd nadat Apple iTunes 12.12.9 had uitgebracht om het probleem te verhelpen.
“De iTunes-applicatie maakt een map, SC Info, in de C:ProgramDataApple ComputeriTunes-directory als systeemgebruiker en geeft volledige controle over deze directory aan alle gebruikers. Na de installatie kan de eerste gebruiker die de iTunes-applicatie uitvoert de SC Info-map verwijderen, een link naar de Windows-systeemmap maken en de map opnieuw maken door een MSI-reparatie af te dwingen, die later kan worden gebruikt om Windows SYSTEM-niveau te bereiken toegang.”
De iTunes 12.12.9-update werd rond 23 mei stilletjes door Apple gepusht, met patches voor twee beveiligingsproblemen waardoor apps hun rechten kunnen verhogen, waarmee het”logische probleem met verbeterde controles”wordt aangepakt. De ontdekking van een van de twee fouten werd toegeschreven aan de Shaikh van Synopsys, terwijl de tweede werd ontdekt door”ycdxsb”van VARAS@IIE.
Het is onduidelijk hoe ver deze kwetsbaarheid teruggaat, maar het is veilig om te zeggen dat het waarschijnlijk alle versies van iTunes 12 omvat vóór de 12.12.9-fix. Daarom, als u iTunes voor Windows nog niet hebt bijgewerkt, moet u dit onmiddellijk doen.
Je moet de nieuwste versie downloaden via de Microsoft Store, als de nieuwste versie die Apple aanbiedt voor directe download van zijn website is iTunes 12.10.11, die zeer waarschijnlijk nog steeds de kwetsbaarheid in kwestie bevat.
Volgens Synopsis’tijdlijn, ontdekte het de kwetsbaarheid voor het eerst in september 2022 en rapporteerde het aan Apple, dat het bestaan ervan in november bevestigde en in mei een patch uitbracht. Het is onduidelijk waarom het zo lang duurde om te reageren, maar aangezien er geen bewijs is dat dit probleem ooit is uitgebuit, had het waarschijnlijk een lagere prioriteit voor Apple. Aan de andere kant geldt dat ook voor iTunes voor Windows als geheel.
Er zijn de afgelopen jaren hardnekkige geruchten geweest dat Apple iTunes op Windows eindelijk zou opsplitsen en zijn opgeblazen en monolithische app zou ombrengen ten gunste van van afzonderlijke muziek-, tv-, podcast-en boeken-apps, net zoals op de Mac.
Helaas is geen van deze ooit tot bloei gekomen, en het Windows-platform loopt zelfs nog verder achter op de Mac als het gaat om de first-party apps van Apple, en heeft zelfs nooit de stand-alone Apple Books-app gewonnen die op de markt kwam de Mac als iBooks in 2013. Afgelopen herfst heeft Apple een”preview”-versie van zijn tv-app op de Microsoft Store; dat is echter waarschijnlijk alleen omdat het gemakkelijker was om een nieuwe zelfstandige app te maken dan iTunes bij te werken om ondersteuning toe te voegen voor het streamen van Apple TV+-inhoud op Windows.
Nu deze kwetsbaarheid is gepubliceerd, zijn Windows-gebruikers met iTunes geen langer beschermd door’beveiliging door obscuriteit’. Slechte actoren zullen deze nieuwe kennis ongetwijfeld gaan gebruiken om malware te maken die zich kan richten op oudere versies van iTunes, waardoor het veel belangrijker wordt om ervoor te zorgen dat u de nieuwste versie van iTunes gebruikt.
