Bagama’t itinigil ng Apple ang iTunes para sa Mac noong 2019 sa paglabas ng macOS Catalina, nabubuhay ang legacy nito para sa mga user ng Windows. Nakalulungkot, kasama rin sa legacy na iyon ang marami sa mga problema sa seguridad na maaaring mabiktima ng mga Windows app.
Maaga nitong linggo, natuklasan ng mga mananaliksik ang isang perpektong bagyo ng mga kahinaan na maaaring gawing seryosong panganib sa seguridad ang iTunes para sa Windows. Bagama’t medyo magulo ang proseso para sa pagsasamantala dito, isa pa rin itong bukas na pinto na maaaring samantalahin ng potensyal na malware.
Ang kapintasan ay natuklasan ni Zeeshan Shaikh ng Synopsys Cybersecurity Research Center (CyRC), na nag-publish ng ilang detalye sa problema pagkatapos ng Apple i-release ang iTunes 12.12.9 upang i-patch ang isyu.
“Ang iTunes application ay lumilikha ng isang folder, SC Info, sa direktoryo ng C:ProgramDataApple ComputeriTunes bilang isang user ng system at nagbibigay ng ganap na kontrol sa direktoryo na ito sa lahat ng mga user. Pagkatapos ng pag-install, ang unang user na magpapatakbo ng iTunes application ay maaaring tanggalin ang SC Info folder, lumikha ng isang link sa folder ng Windows system, at muling likhain ang folder sa pamamagitan ng pagpilit ng isang MSI repair, na maaaring magamit sa ibang pagkakataon upang makakuha ng antas ng Windows SYSTEM access.”
Ang iTunes 12.12.9 update ay tahimik na itinulak ng Apple noong Mayo 23, na may mga patch para sa dalawang problema sa seguridad na maaaring magbigay-daan sa mga app na itaas ang mga pribilehiyo, na tinutugunan ang”isyu sa lohika na may pinahusay na mga pagsusuri.”Ang pagkatuklas ng isa sa dalawang mga depekto ay na-kredito kay Synopsys’Shaikh, habang ang pangalawa ay natuklasan ng”ycdxsb”ng VARAS@IIE.
Hindi malinaw kung gaano kalayo ang napupunta sa kahinaang ito, ngunit ito ay ligtas na sabihin na malamang na sumasaklaw ito sa lahat ng bersyon ng iTunes 12 bago ang 12.12.9 fix. Samakatuwid, kung hindi mo pa na-update ang iTunes para sa Windows, dapat mo itong gawin kaagad.
Kakailanganin mong i-download ang pinakabagong bersyon sa pamamagitan ng Microsoft Store, bilang ang pinakabago bersyon na inaalok ng Apple para sa direktang pag-download mula sa website nito ay iTunes 12.10.11, na malamang na kasama pa rin ang pinag-uusapang kahinaan.
Ayon sa Synopsis’timeline, una nitong natuklasan ang kahinaan noong Setyembre 2022 at iniulat ito sa Apple, na nagkumpirma ng pagkakaroon nito noong Nobyembre at naglabas ng patch noong Mayo. Hindi malinaw kung ano ang nagtagal bago tumugon, ngunit dahil walang katibayan na ang isyung ito ay pinagsamantalahan, malamang na ito ay isang mas mababang priyoridad para sa Apple. At muli, masasabi iyon para sa iTunes para sa Windows sa kabuuan.
Nagkaroon ng paulit-ulit na tsismis sa nakalipas na ilang taon na sa wakas ay hahatiin ng Apple ang iTunes sa Windows, pinapatay ang namamaga at monolitikong app nito pabor. ng hiwalay na Music, TV, Podcast, at Books app, katulad ng ginagawa nito sa Mac.
Nakakalungkot, wala sa mga iyon ang natupad, at ang Windows platform ay mas nahuhuli sa Mac pagdating sa mga first-party na app ng Apple, na hindi man lang nakakuha ng standalone na Apple Books app na dumating sa ang Mac bilang iBooks noong 2013. Noong nakaraang taglagas, ang Apple naglabas ng”preview”na bersyon ng TV app nito sa ang Microsoft Store; gayunpaman, malamang lang iyon dahil mas madaling gumawa ng bagong standalone na app kaysa sa pag-update ng iTunes upang magdagdag ng suporta para sa streaming ng nilalaman ng Apple TV+ sa Windows.
Ngayong na-publish na ang kahinaang ito, ang mga user ng Windows na tumatakbo sa iTunes ay hindi mas matagal na pinoprotektahan ng”security through obscurity.”Walang alinlangan na sisimulan ng mga masasamang aktor ang bagong kaalaman na ito upang gumawa ng malware na maaaring mag-target ng mga mas lumang bersyon ng iTunes, na ginagawa itong mas kritikal upang matiyak na pinapatakbo mo ang pinakabagong bersyon ng iTunes.