PSA : découverte d'une grave vulnérabilité Windows iTunes, mise à jour immédiate conseillée

Une grave faille de sécurité de Windows iTunes a été révélée, affectant toutes les versions antérieures à la dernière mise à jour, publiée il y a une semaine…

Il a fonctionné en combinaison avec d’autres vulnérabilités de Windows pour transformer un problème limité en un problème massif.

Le Synopsys Cybersecurity Research Center (CyRC) a découvert une vulnérabilité d’escalade de privilèges locaux dans Apple iTunes sur Microsoft Windows, permettant aux pirates ayant un accès limité à un système la possibilité d’élever leurs privilèges d’utilisateur aux autorisations d’accès les plus élevées possibles.

Toutes les versions d’Apple iTunes antérieures à 12.12.9 sont affectées par cette faille, et la vulnérabilité a reçu un score CVSS «élevé» (7,8) – CVSS, ou Common Vulnerability Scoring System, classe la gravité d’une vulnérabilité sur une échelle de 0 à dix.

Synopsys a découvert la faille de sécurité pour la première fois en septembre de l’année dernière. Apple a confirmé les résultats en novembre et a commencé à chercher comment le corriger. Ce n’était apparemment pas une tâche facile, car la société ne l’a fait que dans la version 12.12.9 d’iTunes, publiée le 23 mai.

Maintenant que la vulnérabilité Windows iTunes a été corrigée, Synopsys a dévoilé ses conclusions.

L’application crée un dossier privilégié avec un contrôle d’accès faible. Il est possible pour un utilisateur régulier de rediriger cette création de dossier vers le répertoire système de Windows. Cela peut ensuite être exploité pour obtenir un shell système à privilèges plus élevés.

L’application iTunes crée un dossier, SC Info, dans le répertoire C:ProgramDataApple ComputeriTunes en tant qu’utilisateur système et donne un contrôle total sur ce répertoire à tous les utilisateurs. Après l’installation, le premier utilisateur à exécuter l’application iTunes peut supprimer le dossier SC Info, créer un lien vers le dossier système Windows et recréer le dossier en forçant une réparation MSI, qui peut ensuite être utilisée pour obtenir le système Windows. accès de niveau.

Notez que le problème est limité à la version Windows d’iTunes, avec une mise à jour immédiate fortement recommandée. Aucune action n’est requise par les utilisateurs de Mac.

Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :

PSA : découverte d’une grave vulnérabilité Windows iTunes, mise à jour immédiate conseillée

Une bête en liberté et en promotion : le POCO F5 Pro avec 12 Go de RAM frappe fort comme jamais

Ce OnePlus détruit son prix: 199 euros pour un mobile avec une caméra de 108 MP, Snapdragon et une charge de 67W

Elle vient de sortir et déjà en baisse de prix: je l’ai essayée et c’est la tablette bon marché de Xiaomi que j’achèterais

240 euros en moins : l’un des meilleurs smartphones de l’année s’effondre

Windows 11 23H2 maintenant disponible dans le canal de prévisualisation des versions finales

La tablette Xiaomi la plus puissante fracasse son prix sur Amazon : Snapdragon 870, Android 13 et 8 840 mAh de batterie

Bienvenue (avec suspense) à l’intérieur de l’iPhone 15 Pro Max

Cet ordinateur portable pour le télétravail et le gaming bénéficie d’une remise de 200 euros.

La grande mise à jour de Windows 11 avec Copilot et les outils d’IA est en déploiement.

Xiaomi 13T : grand écran, finitions et caméras Leica pour un haut de gamme déguisé en prix de milieu de gamme

La tablette Xiaomi la plus puissante fracasse son prix sur Amazon : Snapdragon 870, Android 13 et 8 840 mAh de batterie

Cet ordinateur portable pour le télétravail et le gaming bénéficie d’une remise de 200 euros.

Xiaomi écrase le prix d’un de ses smartphones, mais seulement temporairement !