Gustong tiyakin ng mga user ng Windows na pinapatakbo nila ang pinakabagong bersyon ng iTunes, iTunes 12.12.9, upang makakuha ng proteksyon mula sa kamakailang natuklasang kahinaan sa seguridad.
Inilabas ng Apple ang iTunes. sa isang Windows machine. Habang ang kahinaan ay natugunan noong nakaraang linggo, ang Synopsys, ang kumpanya ng seguridad na nakatuklas ng problema, ngayon nagbahagi ng ilang detalye sa kung paano ito gumana.
Ang iTunes ay may isang privileged folder na may mahinang kontrol sa pag-access, na nagpapahintulot sa isang malisyosong tao na i-redirect ang paglikha ng folder sa direktoryo ng Windows system, na maaaring pagkatapos gamitin para makakuha ng mas mataas na privileged na shell ng system.
Gumagawa ang iTunes application ng isang folder, SC Info, sa direktoryo ng C:\ProgramData\Apple Computer\iTunes bilang isang user ng system at nagbibigay ganap na kontrol sa direktoryong ito sa lahat ng mga gumagamit. Pagkatapos ng pag-install, ang unang user na magpapatakbo ng iTunes application ay maaaring tanggalin ang SC Info folder, lumikha ng isang link sa folder ng Windows system, at muling likhain ang folder sa pamamagitan ng pagpilit ng isang MSI repair, na maaaring magamit sa ibang pagkakataon upang makakuha ng antas ng Windows SYSTEM access.
Lahat ng bersyon ng iTunes bago ang 12.12.9 ay naaapektuhan ng kahinaang ito, kaya dapat tiyaking mag-update ang mga user ng iTunes na nagpapatakbo ng mga mas lumang bersyon ng software.
Unang natuklasan ng Synopsys ang problema noong Setyembre 2022, at sinabi ito sa Apple sa puntong iyon. Kinumpirma ng Apple ang kahinaan noong Nobyembre, at pagkatapos ay na-patch ito noong Mayo. Hindi sinabi ng Apple na ang pagsasamantalang ito ay kilala na ginamit sa ligaw kaya hindi ito kasing kritikal ng ilang iba pang mga kahinaan, ngunit magandang ideya pa rin na i-install kaagad ang pinakabagong bersyon ng iTunes.
Mga Sikat na Kuwento
Maagang bahagi ng taong ito, inihayag ng Google na plano nitong pag-isahin ang Drive File Stream at Backup at Sync na mga app nito sa isang Google Drive para sa desktop app. Sinasabi na ngayon ng kumpanya na ang bagong sync client ay lalabas”sa mga darating na linggo”at naglabas ng karagdagang impormasyon tungkol sa kung ano ang maaaring asahan ng mga user mula sa paglipat. Upang recap, kasalukuyang may dalawang desktop sync na solusyon para sa paggamit ng Google…