Apple a récemment proposé iTunes 12.12.9 sur Windows et cette version bouche deux failles de sécurité comme nous l’avons déjà vu. Aujourd’hui, l’entreprise de sécurité Synopsys, qui a découvert l’une des deux vulnérabilités (référencée CVE-2023-32353), dévoile les détails.

iTunes Windows

iTunes disposait d’un dossier privilégié dont le contrôle d’accès était faible, ce qui permettait à une personne malveillante de rediriger la création du dossier vers le répertoire système de Windows, qui pouvait alors être utilisé pour obtenir un accès plus élevé.

Dans le détail, iTunes crée un dossier, SC Info, dans le répertoire C:\ProgramData\Apple Computer\iTunes en tant qu’utilisateur du système et donne le contrôle total de ce répertoire à tous les utilisateurs. Après l’installation, le premier utilisateur à exécuter iTunes peut supprimer le dossier SC Info, créer un lien vers le dossier système de Windows et recréer le dossier en forçant une réparation à l’aide de l’installateur, qui peut être utilisé ultérieurement pour obtenir l’accès au niveau du système de Windows.

Toutes les versions antérieures à iTunes 12.12.9 sont touchées par cette faille de sécurité, il est donc fortement recommandé d’installer la mise à jour si ce n’est pas déjà fait.

Un élément notable est le délai entre la découverte de la faille de sécurité et le correctif. Synopsys dit avoir prévenu Apple le 27 septembre 2022. Le 24 novembre, Apple a confirmé la faille. Il a toutefois fallu attendre le 23 mai 2023 pour avoir un correctif public. Il n’est pas précisé pourquoi le délai fut aussi long.

Apple n’a pas fait mention que cette faille a été utilisée par des hackers. Qu’importe, il est important de mettre à jour iTunes pour éviter de mauvaises surprises, surtout que le fonctionnement de la vulnérabilité est maintenant connu.