Segurança 02 Jun
Pesquisadores encontraram uma falha na versão do iTunes para o Windows que permite o acesso a diversos tipos de privilégios no sistema operacional. Os autores da descoberta são da Synopsys Cybersecurity Research Center (CyRC) e eles mencionaram uma fragilidade no software que pode gerar até mesmo manipulação dos dados.
Isso acontece porque o programa cria uma pasta no Windows, chamada "SC Info". Apesar de somente o sistema ter acesso a essa pasta, todos os usuários do computador podem ter acesso e completo controle sobre o item. Dessa forma, fornece um número elevado de privilégios de administrador.
Caso essa pasta seja deletada e tenha um link criado pelo usuário com referência à ela para o Windows, isso acaba forçando o sistema a tentar reparar o processo e com isso, recria a pasta. Dessa forma, o novo item criado gera um acesso com privilégios elevados dentro do software.
Essa vulnerabilidade permite que alguém que não tem permissões elevadas possa ter acesso a um patamar maior de privilégios. Ou seja, usuários maliciosos podem obter dados sensíveis, bem como modificar ou até mesmo deletar informações que normalmente não poderiam visualizar.
O resultado da análise feita pela Synopsys foi reportado à Apple, revelando a vulnerabilidade do programa. Com isso, ela foi nomeada como e registrada no banco de dados CVE-2023-32353. A maçã, por sua vez, já atualizou o iTunes com a correção do problema e o recomendável é que quem tiver versões inferiores a 12.12.9 faça o update com a resolução do problema.
Mais sobre o iTunes: veja também como consultar o histórico de compras no aplicativo, bem como os detalhes sobre o modo com áudio Lossless que não será implementado no software.
Comentários