Chociaż firma Apple wycofała iTunes dla komputerów Mac w 2019 roku wraz z wydaniem systemu macOS Catalina, jego dziedzictwo jest nadal dostępne dla użytkowników systemu Windows. Niestety, ta spuścizna obejmuje również wiele problemów z bezpieczeństwem, których ofiarą mogą paść aplikacje Windows.
Wcześniej w tym tygodniu badacze odkryli burzę luk w zabezpieczeniach, które mogą zmienić iTunes dla Windows w poważne zagrożenie bezpieczeństwa. Chociaż proces wykorzystania tego był nieco zawiły, nadal były to otwarte drzwi, z których potencjalne złośliwe oprogramowanie mogło skorzystać.
Usterka została odkryta przez Zeeshana Shaikha z Synopsys Cybersecurity Research Center (CyRC), który opublikował kilka szczegółów na temat problemu po tym, jak Apple opublikował iTunes 12.12.9 w celu załatania problemu.
„Aplikacja iTunes tworzy folder SC Info w katalogu C:ProgramDataApple ComputeriTunes jako użytkownik systemu i zapewnia pełną kontrolę nad tym katalogiem wszystkim użytkownikom. Po instalacji pierwszy użytkownik, który uruchomi aplikację iTunes, może usunąć folder SC Info, utworzyć łącze do folderu systemowego Windows i ponownie utworzyć folder, wymuszając naprawę MSI, co może być później wykorzystane do uzyskania poziomu Windows SYSTEM dostęp.”
Aktualizacja iTunes 12.12.9 została po cichu wydana przez Apple około 23 maja, z poprawkami na dwa problemy z bezpieczeństwem, które mogą pozwolić aplikacjom na podniesienie uprawnień, rozwiązując „problem logiczny z ulepszonymi kontrolami”. Odkrycie jednej z dwóch luk zostało przypisane Shaikhowi z Synopsys, a drugą „ycdxsb” z VARAS@IIE.
Nie jest jasne, jak daleko wstecz sięga ta luka, ale jest można śmiało powiedzieć, że prawdopodobnie obejmuje wszystkie wersje iTunes 12 przed poprawką 12.12.9. Dlatego jeśli nie zaktualizowałeś jeszcze iTunes dla Windows, powinieneś to zrobić natychmiast.
Musisz pobrać najnowszą wersję ze sklepu Microsoft Store, ponieważ najnowsza Wersja, którą Apple oferuje do bezpośredniego pobrania ze swojej strony internetowej, to iTunes 12.10.11, która najprawdopodobniej nadal zawiera przedmiotową lukę.
Zgodnie z Oś czasu Synopsis, po raz pierwszy wykryła lukę we wrześniu 2022 r. i zgłosiła ją firmie Apple, która potwierdziła jej istnienie w listopadzie i wydała łatkę w maju. Nie jest jasne, dlaczego tak długo trzeba było czekać na odpowiedź, ale ponieważ nie ma dowodów na to, że ten problem był kiedykolwiek wykorzystywany, prawdopodobnie miał niższy priorytet dla Apple. Z drugiej strony, można to powiedzieć o iTunes dla Windows jako całości.
W ciągu ostatnich kilku lat pojawiły się uporczywe pogłoski, że Apple ostatecznie podzieli iTunes na Windows, zabijając rozdętą i monolityczną aplikację na rzecz oddzielnych aplikacji Muzyka, TV, Podcast i Książki, podobnie jak na komputerze Mac.
Niestety, żaden z nich nigdy nie został zrealizowany, a platforma Windows pozostaje jeszcze dalej w tyle za komputerem Mac, jeśli chodzi o własne aplikacje firmy Apple, nigdy nie zyskała nawet samodzielnej aplikacji Apple Books, która pojawiła się Mac jako iBooks w 2013 roku. Zeszłej jesieni firma Apple wypuściła „podglądową” wersję swojej aplikacji telewizyjnej na sklep Microsoftu; jednak prawdopodobnie dzieje się tak tylko dlatego, że łatwiej było stworzyć nową samodzielną aplikację niż zaktualizować iTunes, aby dodać obsługę przesyłania strumieniowego treści Apple TV+ w systemie Windows.
Teraz, gdy ta luka została opublikowana, użytkownicy systemu Windows korzystający z iTunes nie są już dłużej chronione przez „bezpieczeństwo przez zaciemnienie”. Źli aktorzy bez wątpienia zaczną wykorzystywać tę nową wiedzę do tworzenia złośliwego oprogramowania, które może atakować starsze wersje iTunes, co sprawi, że o wiele ważniejsze będzie upewnienie się, że korzystasz z najnowszej wersji iTunes.
