Apple werkt aan nieuwe muziek-, tv- en apparaten-apps om de verouderde iTunes voor Windows te vervangen, maar in de tussentijd moet je ervoor zorgen dat iTunes up-to-date is op je pc. Een nieuwe beveiligingsfout kan ernstige schade aanrichten als u niet over de nieuwste versie beschikt.
Apple heeft iTunes 12.12.9 voor Windows uitgebracht, dat oplossingen bevat voor twee gemelde beveiligingsproblemen. De eerste, CVE-2023-32353, zorgde ervoor dat andere software een geprivilegieerde systeemshell kon bereiken met behulp van een map die iTunes tijdens het installatieproces aanmaakt. De fout werd ontdekt door een beveiligingsadviseur van Synopsys.
Synopsys zei in een blogpost: “De iTunes-applicatie maakt een map aan, SC Info, in de [iTunes directory] als systeemgebruiker en geeft volledige controle over deze directory aan alle gebruikers. Na de installatie kan de eerste gebruiker die de iTunes-applicatie uitvoert de SC Info-map verwijderen, een link naar de Windows-systeemmap maken en de map opnieuw maken door een MSI-reparatie af te dwingen, die later kan worden gebruikt om Windows SYSTEM-niveau te bereiken toegang.”
De iTunes-update bevat ook een patch voor CVE-2023-32351, een afzonderlijk probleem waardoor ook andere software via iTunes hogere rechten kon krijgen. Het is niet duidelijk of een van beide kwetsbaarheden tot nu toe in het wild is gebruikt.
iTunes 12.12.9 kan worden gedownload van de website van Apple en de Microsoft Store. Het vereist Windows 10 of hoger – ondersteuning voor Windows 8, 7 en eerdere versies is een tijdje geleden beëindigd.
Bron: Appel, Synopsys
Via: MacRumors
