Apple은 오래된 Windows용 iTunes를 대체하기 위해 새로운 음악, TV 및 장치 앱을 개발하고 있지만 그동안 PC에서 iTunes가 최신 상태인지 확인해야 합니다. 최신 버전이 없는 경우 새로운 보안 결함으로 인해 심각한 피해를 입을 수 있습니다.
Apple은 보고된 두 가지 보안 취약점에 대한 수정 사항이 포함된 Windows용 iTunes 12.12.9를 출시했습니다. 첫 번째인 CVE-2023-32353은 다른 소프트웨어가 설치 프로세스 중에 iTunes가 생성하는 폴더를 사용하여 권한 있는 시스템 셸을 달성하도록 허용했습니다. 이 결함은 Synopsys의 보안 컨설턴트에 의해 발견되었습니다.
Synopsys는 블로그 게시물에서 “iTunes 애플리케이션은 SC Info라는 폴더를 생성합니다. [iTunes directory] 시스템 사용자로서 모든 사용자에게 이 디렉토리에 대한 모든 권한을 부여합니다. 설치 후 iTunes 응용 프로그램을 실행하는 첫 번째 사용자는 SC Info 폴더를 삭제하고 Windows 시스템 폴더에 대한 링크를 만들고 MSI 복구를 강제로 수행하여 폴더를 다시 만들 수 있습니다. 이 폴더는 나중에 Windows 시스템 수준을 얻는 데 사용할 수 있습니다. 입장.”
iTunes 업데이트에는 CVE-2023-32351에 대한 패치도 포함되어 있습니다. 이 패치는 다른 소프트웨어가 iTunes를 통해 높은 권한을 얻을 수 있도록 하는 별도의 문제입니다. 두 취약점이 지금까지 야생에서 사용되었는지는 확실하지 않습니다.
iTunes 12.12.9는 Apple 웹 사이트 및 Microsoft Store에서 다운로드할 수 있습니다. Windows 10 이상이 필요합니다. Windows 8, 7 및 이전 버전에 대한 지원은 얼마 전에 종료되었습니다.
출처: Apple, Synopsys
경유: 맥루머스
