Người dùng Windows sẽ muốn đảm bảo rằng họ đang chạy phiên bản iTunes mới nhất, iTunes 12.12.9, để được bảo vệ khỏi một lỗ hổng bảo mật mới được phát hiện gần đây.
Apple đã phát hành iTunes 12.12.9 vào ngày 23 tháng 5 và khắc phục sự cố có thể cho phép các ứng dụng độc hại có được đặc quyền nâng cao để cài đặt phần mềm độc hại trên máy Windows. Mặc dù lỗ hổng bảo mật đã được giải quyết vào tuần trước, Synopsys, công ty bảo mật đã phát hiện ra vấn đề, hôm nay đã chia sẻ một số chi tiết về cách nó hoạt động.
iTunes có một thư mục đặc quyền với khả năng kiểm soát truy cập yếu, cho phép kẻ có ác ý chuyển hướng việc tạo thư mục tới thư mục hệ thống Windows, sau đó có thể được sử dụng để lấy vỏ hệ thống có đặc quyền cao hơn.
Ứng dụng iTunes tạo một thư mục, SC Info, trong thư mục C:\ProgramData\Apple Computer\iTunes với tư cách là người dùng hệ thống và cung cấp toàn quyền kiểm soát thư mục này cho tất cả người dùng. Sau khi cài đặt, người dùng đầu tiên chạy ứng dụng iTunes có thể xóa thư mục Thông tin SC, tạo liên kết đến thư mục hệ thống Windows và tạo lại thư mục bằng cách buộc sửa chữa MSI, thư mục này sau này có thể được sử dụng để đạt được cấp độ HỆ THỐNG Windows truy cập.
Tất cả các phiên bản iTunes trước ngày 12.12.9 đều bị ảnh hưởng bởi lỗ hổng này và vì vậy người dùng iTunes đang chạy các phiên bản phần mềm cũ hơn nên đảm bảo cập nhật.
Synopsys phát hiện ra vấn đề lần đầu tiên vào tháng 9 năm 2022 và đã thông báo cho Apple về vấn đề này vào thời điểm đó. Apple đã xác nhận lỗ hổng này vào tháng 11 và sau đó vá nó vào tháng 5. Apple không nói rằng khai thác này đã được biết là đã được sử dụng trong tự nhiên nên nó không nghiêm trọng như một số lỗ hổng khác, nhưng bạn vẫn nên cài đặt phiên bản iTunes mới nhất ngay lập tức.
Câu chuyện phổ biến
Đầu năm nay, Google đã thông báo rằng họ có kế hoạch hợp nhất các ứng dụng Drive File Stream và Backup and Sync thành một ứng dụng Google Drive cho máy tính duy nhất. Công ty hiện cho biết ứng dụng khách đồng bộ hóa mới sẽ ra mắt”trong vài tuần tới”và đã phát hành thêm thông tin về những gì người dùng có thể mong đợi từ quá trình chuyển đổi. Tóm lại, hiện tại có hai giải pháp đồng bộ hóa màn hình để sử dụng Google…
