Użytkownicy systemu Windows będą chcieli mieć pewność, że korzystają z najnowszej wersji iTunes, iTunes 12.12.9, aby uzyskać ochronę przed niedawno odkrytą luką w zabezpieczeniach.
Apple wypuściło iTunes 12.12.9 z 23 maja i naprawia problem, który mógł umożliwić złośliwym aplikacjom uzyskanie podwyższonych uprawnień do instalowania złośliwego oprogramowania na komputerze z systemem Windows. Podczas gdy luka została usunięta w zeszłym tygodniu, Synopsys, firma zajmująca się bezpieczeństwem, która wykryła problem, dzisiaj udostępnił pewne szczegóły na temat tego, jak to działa.
iTunes miał uprzywilejowany folder ze słabą kontrolą dostępu, umożliwiając złośliwej osobie przekierowanie tworzenia folderu do katalogu systemu Windows, który następnie mógł użyć do uzyskania powłoki systemowej o wyższych uprawnieniach.
Aplikacja iTunes tworzy folder SC Info w katalogu C:\ProgramData\Apple Computer\iTunes jako użytkownik systemowy i daje pełną kontrolę nad tym katalogiem wszystkim użytkownikom. Po instalacji pierwszy użytkownik, który uruchomi aplikację iTunes, może usunąć folder SC Info, utworzyć łącze do folderu systemowego Windows i ponownie utworzyć folder, wymuszając naprawę MSI, co może być później wykorzystane do uzyskania poziomu Windows SYSTEM dostęp.
Wszystkie wersje iTunes starsze niż 12.12.9 są narażone na tę lukę, dlatego użytkownicy iTunes korzystający ze starszych wersji oprogramowania powinni zaktualizować.
Firma Synopsys po raz pierwszy wykryła problem we wrześniu 2022 r. i wtedy poinformowała o tym firmę Apple. Apple potwierdziło lukę w listopadzie, a następnie załatało ją w maju. Apple nie powiedział, że wiadomo było, że ten exploit był używany w środowisku naturalnym, więc nie jest tak krytyczny, jak niektóre inne luki w zabezpieczeniach, ale nadal dobrym pomysłem jest natychmiastowe zainstalowanie najnowszej wersji iTunes.
Popularne historie
Na początku tego roku firma Google ogłosiła, że planuje ujednolicić swoje aplikacje Transmisja plików z Dysku oraz Kopia zapasowa i synchronizacja w jedną aplikację Dysk Google na komputer. Firma twierdzi teraz, że nowy klient synchronizacji zostanie wprowadzony „w nadchodzących tygodniach” i opublikowała dodatkowe informacje o tym, czego użytkownicy mogą oczekiwać po przejściu. Podsumowując, obecnie istnieją dwa rozwiązania do synchronizacji pulpitu za pomocą Google…