Les chercheurs en sécurité du Synopsis Cybersecurity Research Center (CyRC) ont mis en lumière une faille au sein d'iTunes sur Windows.
Une faille de sécurité au sein d'iTunes pour Windows
Selon les experts, des esprits mal intentionnés pouvaient s'appuyer sur une faille au sein d'iTunes créant un dossier SC Info insuffisamment protégé afin d'obtenir des privilèges administrateur et ainsi accéder aux données sensibles et modifier le système. Cette faille touche toutes les versions d'iTunes pour Windows antérieures à la 12.12.9.
L'application iTunes crée un dossier, SC Info, dans le répertoire C:\ProgramData\Apple Computer\iTunes en tant qu'utilisateur système et donne un contrôle total sur ce répertoire à tous les utilisateurs. Après l'installation, le premier utilisateur à exécuter l'application iTunes peut supprimer le dossier SC Info, créer un lien vers le dossier système Windows et recréer le dossier en forçant une réparation MSI, qui peut être utilisée ultérieurement pour obtenir des privilèges élevés et l'accès au système.
Une faille corrigée depuis iTunes 12.12.9
Les chercheurs de Synopsis ayant découvert cette faille CVE-2023-32353 ont ensuite contacté les équipes d'Apple en charge de la sécurité logicielle en septembre 2022. Apple a confirmé le problème en novembre de la même année avant de publier un correctif au sein d'iTunes 12.12.9 en mai dernier. Il est bien entendu chaudement recommandé aux utilisateurs du programme sur Windows d'installer la dernière version en date. Pour rappel, Apple Music pour Windows remplacera à terme le vieillissant iTunes une fois que le programme sera sorti de sa phase de test en bêta. Il est toutefois recommandé de ne pas installer les versions bêtas d'Apple Music, Apple TV et Appareils Apple (appelées Aperçus) si vous consultez des podcasts et livres audio depuis iTunes sur Windows car elles empêchent le bon fonctionnement du programme.
