アンドリュー・オール
· 1分で読めます
Windows版iTunesにセキュリティ上の欠陥がある
研究者らは、Windows 版 iTunes にユーザーがシステム権限を昇格できる脆弱性を発見した。Windows ユーザーはアプリを更新する必要がある。
2022年後半、Synopsysサイバーセキュリティリサーチセンター(CyRC)は、Windows版iTunesアプリにセキュリティ上の脆弱性を発見しました。この脆弱性を悪用されると、ローカル権限の昇格によってシステムレベルの権限が取得される可能性があります。
ユーザー権限(パーミッションとも呼ばれます)は、ユーザーアカウントがコンピュータシステム上で実行できる操作を定義します。ユーザー権限はシステムセキュリティの重要な要素であり、ユーザーがシステムのセキュリティを損なうことなくタスクを実行できるようにします。
権限には、ファイルを開く、データの変更や削除、システム設定の変更などが含まれます。管理者権限を持つユーザーは、新しいアプリのインストールやユーザーアカウントの管理など、さらに多くの操作を実行できます。
この脆弱性により、Windowsコンピュータ、特に特定のバージョンのiTunesを実行しているコンピュータ上で、ユーザー権限が制限されている人物がシステムを悪用して昇格権限を取得する可能性があります。これにより、悪意のある人物が機密データへの不正アクセス、本来アクセスすべきでないデータの変更や削除、同一ネットワーク内の他のコンピュータへの攻撃を行う可能性があります。
iTunesソフトウェアはWindowsシステムにフォルダ(「SC Info」)を作成します。このフォルダはシステムのみが使用する必要がありますが、iTunesはすべてのユーザーにこのフォルダの完全な制御権を与えます。
ユーザーがこのフォルダーを削除し、フォルダーがあった場所から Windows システム フォルダーへのリンクを作成すると、フォルダーを再作成するシステム修復プロセスが強制的に実行されます。
システム フォルダにリンクされたこの新しいフォルダにより、攻撃者は Windows システムへの高度なアクセス権を取得できます。
iTunesのバグから身を守る方法
シノプシスチームは既にこの脆弱性をAppleに報告しており、公開されているコンピュータセキュリティ上の欠陥のデータベース(Common Vulnerabilities and Exposures)ではCVE-2023-32353として追跡されています。これを受けてAppleは5月23日にパッチをリリースしました。
これは Windows 上の iTunes 12.12.9 より前のバージョンに影響するため、ユーザーはできるだけ早くアップデートをインストールすることをお勧めします。
