Ошибка безопасности iTunes в Windows допускает несанкционированный доступ

iTunes для Windows имеет уязвимость в системе безопасности

Исследователи обнаружили уязвимость в iTunes для Windows, которая позволяет пользователям повышать системные привилегии, и пользователям Windows следует обновить приложение.

В конце 2022 года Исследовательский центр кибербезопасности Synopsys (CyRC) обнаружил уязвимость в системе безопасности в версии приложения iTunes для Windows. Его использование может привести к повышению локальных привилегий для достижения привилегий системного уровня.

Привилегии пользователя, также известные как разрешения, определяют, что учетная запись пользователя может делать в компьютерной системе. Они являются важной частью безопасности системы, гарантируя, что пользователи могут выполнять задачи, не ставя под угрозу безопасность системы.

Привилегии могут включать в себя возможность открывать файлы, изменять или удалять данные или изменять системные настройки. Пользователи с правами администратора могут делать больше, например устанавливать новые приложения и управлять учетными записями пользователей.

С помощью этой уязвимости кто-то с ограниченными правами пользователя на компьютере под управлением Windows, в частности, на определенных версиях iTunes, может использовать систему для получения повышенных привилегий. Это может позволить злоумышленнику получить несанкционированный доступ к конфиденциальным данным, изменить или удалить данные, которые он не должен делать, или начать атаки на другие компьютеры в той же сети.

Программное обеспечение iTunes создает папку («SC Info») в системе Windows. Только система должна использовать эту папку, но iTunes предоставляет всем пользователям полный контроль над ней.

Если пользователь удалит эту папку, а затем создаст ссылку из того места, где была папка, на системную папку Windows, это вызовет процесс восстановления системы, который воссоздает папку.

Эта новая папка, связанная с системной папкой, дает злоумышленникам доступ высокого уровня к системе Windows.

Как защитить себя от ошибки iTunes

Команда Synopsys уже сообщила Apple об уязвимости, отслеживаемой как CVE-2023-32353 в базе данных общедоступных недостатков компьютерной безопасности, известной как Common Vulnerabilities and Exposures. В результате Apple выпустила патч 23 мая.

Это влияет на версии iTunes в Windows до 12.12.9, и пользователям рекомендуется установить обновление как можно скорее.