Alcuni ricercatori di sicurezza hanno trovato una vulnerabilità in iTunes per Windows che consente agli utenti di aumentare i privilegi di sistema. Gli utenti Windows dovrebbero aggiornare l’app quanto prima.
Alla fine del 2022, il Synopsys Cybersecurity Research Center (CyRC) ha scoperto una vulnerabilità di sicurezza all’interno della versione Windows dell’app iTunes. Sfruttarlo può portare a un’escalation dei privilegi locali per ottenere privilegi a livello di sistema.
I privilegi utente definiscono cosa può fare un account utente su un sistema informatico. Sono una parte essenziale della sicurezza del sistema, garantendo che gli utenti possano eseguire attività senza compromettere la sicurezza del sistema.
I privilegi possono includere la possibilità di aprire file, modificare o eliminare dati o modificare le impostazioni di sistema. Gli utenti con privilegi amministrativi possono fare di più, come installare nuove app e gestire gli account utente.
Con questa vulnerabilità, qualcuno con privilegi utente limitati su un computer Windows, in particolare con versioni specifiche di iTunes, potrebbe sfruttare il sistema per acquisire privilegi elevati. Questo potrebbe consentire a una persona malintenzionata di ottenere l’accesso non autorizzato a dati sensibili, modificare o eliminare dati o lanciare attacchi su altri computer all’interno della stessa rete.
Il software iTunes crea una cartella (“SC Info”) sul sistema Windows. Solo il sistema dovrebbe utilizzare questa cartella, ma iTunes offre a tutti gli utenti il controllo completo su di essa. Se un utente elimina questa cartella e quindi crea un collegamento da dove si trovava la cartella alla cartella di sistema di Windows, questo forza un processo di ripristino del sistema che ricrea la cartella.
Quella nuova cartella, collegata alla cartella di sistema, offre agli aggressori un accesso di alto livello al sistema Windows.
Come proteggersi dal bug di iTunes
Il team di Synopsys ha già segnalato la vulnerabilità ad Apple, tracciata come CVE-2023-32353 nel database delle falle di sicurezza del computer divulgate pubblicamente come Vulnerabilità ed esposizioni comuni. Di conseguenza, Apple ha rilasciato una patch il 23 maggio.
Il problema interessa le versioni di iTunes su Windows precedenti alla 12.12.9 e si consiglia agli utenti di installare prima possibile l’ultimo update disponibile.