Apple iTunes имеет серьезную уязвимость в системе безопасности, о которой вы действительно должны знать
вычисления techradar.com Новости

Apple iTunes имеет серьезную уязвимость в системе безопасности, о которой вы действительно должны знать

3 июня 2023 г.

В культовой программе Apple iTunes была обнаружена уязвимость высокой степени опасности, которая позволяет злоумышленникам повышать привилегии локально, фактически давая им ключи от королевства.

Исследователи кибербезопасности из Synopsys описала недостаток версии мультимедийного концентратора для Windows, объяснив, что приложение создает привилегированную папку со слабым контролем доступа.

В результате субъект угрозы (в данном случае обычный пользователь без каких-либо повышенных привилегий) может перенаправить создание этой папки в системный каталог Windows, а затем использовать папку для получения системной оболочки с более высокими привилегиями.

Ошибка iTunes высокой степени серьезности

«Приложение iTunes создает папку SC Info в каталоге C:\ProgramData\Apple Computer\iTunes в качестве системного пользователя и предоставляет полный контроль над этим каталогом всем пользователям», — пояснили исследователи. «После установки первый пользователь, запустивший приложение iTunes, может удалить папку SC Info, создать ссылку на системную папку Windows и заново создать папку, принудительно восстановив MSI, которую впоследствии можно будет использовать для получения Windows SYSTEM. уровень доступа».

Уязвимость теперь отслеживается как CVE-2023-32353 и затрагивает версии iTunes до 12.12.9. Он имеет оценку серьезности 7,8 и считается «высокой серьезностью».

Подробнее

> Apple только что исправила пару опасных проблем с безопасностью iOS и macOS, обновите сейчас

> Выпущено крупное новое обновление системы безопасности для iOS и macOS, обновите сейчас

> Вот наш список лучших брандмауэров на сегодняшний день.

В последнее время компания Apple усердно работала над устранением ряда серьезных уязвимостей в своей экосистеме.

Microsoft недавно сообщила об обнаружении  серьезная ошибка в macOS, получившая название Migraine, которая могла позволить злоумышленникам с привилегиями root обойти защиту целостности системы, дав им возможность установить неудаляемый вредоносное ПО.

Кроме того, уязвимость позволяет злоумышленникам обойти функцию прозрачности, согласия и контроля (TCC) и получить доступ к конфиденциальным данным. С тех пор ошибка была исправлена ​​во всей экосистеме Apple, и пользователям было предложено применить исправление как можно скорее.

Кроме того, менее месяца назад компания объявила об исправлении двух уязвимостей нулевого дня, которые были по-видимому, злоупотребляют в дикой природе, чтобы нацелиться на пользователей конечных точек iPhone, Mac и iPad. Сообщается, что уязвимости позволили злоумышленникам получить полный контроль над уязвимыми устройствами.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE