Les chercheurs en sécurité ont découvert une vulnérabilité dans iTunes pour Windows qui permet aux utilisateurs d’élever les privilèges du système. Les utilisateurs Windows doivent mettre à jour l’application dès que possible.
Fin 2022, le Synopsys Cybersecurity Research Center (CyRC) a découvert une vulnérabilité de sécurité dans la version Windows de l’application iTunes. Son exploitation peut entraîner une élévation des privilèges locaux pour obtenir des privilèges au niveau du système.
Les privilèges d’utilisateur définissent ce qu’un compte d’utilisateur peut faire sur un système informatique. Ils constituent un élément essentiel de la sécurité du système, garantissant que les utilisateurs peuvent effectuer des tâches sans compromettre la sécurité du système.
Les privilèges peuvent inclure la possibilité d’ouvrir des fichiers, de modifier ou de supprimer des données ou de modifier les paramètres du système. Les utilisateurs administratifs peuvent faire plus, comme installer de nouvelles applications et gérer les comptes d’utilisateurs.
Avec cette vulnérabilité, une personne disposant de privilèges d’utilisateur limités sur un ordinateur Windows, en particulier avec des versions spécifiques d’iTunes, pourrait exploiter le système pour obtenir des privilèges élevés. Cela pourrait permettre à un attaquant d’obtenir un accès non autorisé à des données sensibles, de modifier ou de supprimer des données, ou de lancer des attaques sur d’autres ordinateurs du même réseau.
Le logiciel iTunes crée un dossier (« SC Info ») sur le système Windows. Seul le système doit utiliser ce dossier, mais iTunes donne à tous les utilisateurs un contrôle total sur celui-ci. Si un utilisateur supprime ce dossier, puis crée un raccourci à partir de l’emplacement du dossier vers le dossier système Windows, cela force un processus de restauration du système qui recrée le dossier.
Ce nouveau dossier, lié au dossier système, donne aux attaquants un accès de haut niveau au système Windows.
Comment se protéger du bug d’iTunes
L’équipe Synopsys a déjà signalé la vulnérabilité à Apple, suivie comme CVE-2023-32353 dans la base de données des failles de sécurité informatique divulguées publiquement en tant que vulnérabilités et expositions courantes. En conséquence, Apple a publié un correctif le 23 mai.
Le problème affecte les versions d’iTunes sur Windows antérieures à 12.12.9 et les utilisateurs sont invités à installer la dernière mise à jour disponible dès que possible.
