Chyba zabezpečení iTunes v systému Windows umožňuje neoprávněný přístup

iTunes ve Windows má bezpečnostní chybu

Koncem roku 2022 objevilo výzkumné centrum Cybersecurity Research Center (CyRC) Synopsys chybu zabezpečení ve verzi aplikace iTunes pro Windows. Jeho využití může vést k místní eskalaci oprávnění k dosažení oprávnění na úrovni systému.

Uživatelská oprávnění, známá také jako oprávnění, definují, co může uživatelský účet v počítačovém systému dělat. Jsou nezbytnou součástí zabezpečení systému a zajišťují, že uživatelé mohou provádět úkoly, aniž by byla ohrožena bezpečnost systému.

Oprávnění mohou zahrnovat možnost otevírat soubory, měnit nebo mazat data nebo upravovat nastavení systému. Uživatelé s oprávněními správce mohou dělat více, například instalovat nové aplikace a spravovat uživatelské účty.

S touto chybou zabezpečení by někdo s omezenými uživatelskými oprávněními na počítači se systémem Windows, konkrétně s konkrétní verzí iTunes, mohl zneužít systém k získání zvýšených oprávnění. To by mohlo umožnit osobě se zlými úmysly získat neoprávněný přístup k citlivým datům, změnit nebo odstranit data, která by neměla, nebo zahájit útoky na jiné počítače ve stejné síti.

Software iTunes vytvoří složku („SC Info“) v systému Windows. Tuto složku by měl používat pouze systém, ale iTunes nad ní dává všem uživatelům úplnou kontrolu.

Pokud uživatel odstraní tuto složku a poté vytvoří odkaz z místa, kde byla složka, na systémovou složku Windows, vynutí to proces opravy systému, který složku znovu vytvoří.

Tato nová složka propojená se systémovou složkou poskytuje útočníkům přístup na vysokou úroveň k systému Windows.

Tým Synopsys již nahlásil zranitelnost společnosti Apple, která byla sledována jako CVE-2023-32353 v databázi veřejně odhalených chyb zabezpečení počítače známých jako Common Vulnerabilities and Exposures. V důsledku toho Apple vydal 23. května opravu.

Ovlivňuje verze iTunes ve Windows před 12.12.9 a uživatelům se doporučuje nainstalovat aktualizaci co nejdříve.