Apple’ın ikonik iTunes programında, tehdit aktörlerinin ayrıcalıkları yerel olarak artırmasına ve onlara krallığın anahtarlarını vermesine izin verebilecek yüksek önem dereceli bir güvenlik açığı keşfedildi.
Siber güvenlik araştırmacıları Özet multimedya merkezinin Windows sürümündeki kusuru özetledi ve uygulamanın zayıf erişim denetimlerine sahip ayrıcalıklı bir klasör oluşturduğunu açıkladı.
Sonuç olarak, bir tehdit aktörü (bu durumda, herhangi bir yükseltilmiş ayrıcalığı olmayan normal bir kullanıcı), bu klasör oluşturmayı Windows sistem dizinine yönlendirebilir ve daha sonra, daha yüksek ayrıcalıklı bir sistem kabuğu elde etmek için klasörü kullanabilir.
Yüksek önem dereceli iTunes kusuru
Araştırmacılar, “iTunes uygulaması, bir sistem kullanıcısı olarak C:ProgramDataApple ComputeriTunes dizininde SC Info adında bir klasör oluşturur ve bu dizin üzerinde tüm denetimi tüm kullanıcılara verir” dedi. “Kurulumdan sonra, iTunes uygulamasını çalıştıran ilk kullanıcı, SC Info klasörünü silebilir, Windows sistem klasörüne bir bağlantı oluşturabilir ve daha sonra Windows SYSTEM kazanmak için kullanılabilecek bir MSI onarımını zorlayarak klasörü yeniden oluşturabilir. düzeyde erişim.”
Kusur artık CVE-2023-32353 olarak izleniyor ve iTunes’un 12.12.9’dan önceki sürümlerini etkiliyor. Şiddet puanı 7.8’dir ve “yüksek şiddet” olarak kabul edilir.
Apple, son zamanlarda ekosistemindeki bir dizi yüksek önem dereceli güvenlik açığını gidermek için sıkı bir şekilde çalışıyor.
Microsoft kısa bir süre önce macOS’ta kök ayrıcalıklarına sahip tehdit aktörlerinin Sistem Bütünlüğü Korumasını atlamasına izin vererek onlara “silinemez” kötü amaçlı yazılım yükleme yeteneği veren Migren adlı büyük bir hata bulduğunu bildirdi.
Ayrıca kusur, tehdit aktörlerinin Şeffaflık, Rıza ve Kontrol (TCC) özelliği etrafında çalışmasına ve hassas verilere erişmesine olanak tanır. Hata, o zamandan beri Apple ekosisteminde yamalandı ve kullanıcılara düzeltmeyi mümkün olan en kısa sürede uygulamaları söylendi.
Ayrıca, bir aydan daha kısa bir süre önce şirket, iPhone, Mac ve iPad uç nokta kullanıcılarını hedeflemek için vahşi ortamda kötüye kullanıldığı anlaşılan iki sıfır gün güvenlik açığını giderdiğini duyurdu. Açıkların, tehdit aktörlerinin savunmasız cihazlar üzerinde tam kontrol sahibi olmasını sağladığı söylendi.
