Une vulnérabilité «zéro jour» dans les logiciels iTunes (et iCloud) d’Apple pour les PC Windows a été mise à profit par des parties malveillantes pour installer un ransomware sur ces ordinateurs, tout en contournant les applications antivirus.
Cette faille de sécurité – et l'attaque particulièrement malveillante qui a suivi – a maintenant été corrigée suite à sa divulgation à Apple par la société de sécurité Morphisec.
Morphisec observe que l'exploit en question reposait sur une «vulnérabilité de chemin non indiqué» qui n'est pas souvent vue, bien qu'elle ait déjà été détectée dans des logiciels de premier plan, notamment Intel Management Engine et ExpressVPN (ce dernier en juillet). .
Comme son nom l'indique, cette vulnérabilité est provoquée par un programmeur affectant une variable avec un chemin, mais ne cernant pas ce chemin avec des guillemets.
Cette faille de sécurité particulière est présente dans l'utilitaire de mise à jour de logiciels Apple, fourni avec iTunes et iCloud, et utilisé pour fournir des mises à jour.
Sommaire
Danger reste
Le danger de cet exploit a été accru par le fait que, lorsque iTunes est désinstallé, Apple Software Update reste sur le PC et doit être supprimé séparément. Cependant, de nombreuses personnes ne le réalisent pas et sont donc restées vulnérables à cet exploit même 'avait déjà abandonné iTunes.
Morphisec a déclaré: "Nous avons été surpris par les résultats d'une enquête qui a montré qu'Apple Software Update est installé sur un grand nombre d'ordinateurs de différentes entreprises."
Il va sans dire que si vous utilisez iTunes ou iCloud sous Windows, vous devez vous assurer que vous avez mis à jour les applications (le correctif est appliqué dans iTunes 12.10.1 pour Windows et iCloud pour Windows 7.14).
Bien sûr, Apple a arrêté iTunes sur le Mac, mais l’application reste active sous Windows.
De manière inquiétante, comme le rapporte Ars Technica, Morphisec a en outre constaté qu’elle avait découvert plus de vulnérabilités signalées à Apple, mais que la société ne les avait pas encore corrigées. Apple n'a résolu cet exploit que jusqu'à présent.
Morphisec avait précédemment imputé cet exploit à la responsabilité du programme de mise à jour de Bonjour, mais dans une mise à jour publiée ce jour: «Lors de la revalidation de l'exploit, et lorsque nous continuons à travailler avec Apple sur d'autres vulnérabilités qui n'ont pas encore été corrigées ou annoncées, nous avons constaté que la vulnérabilité faisant l'objet d'abus concerne spécifiquement un composant de mise à jour de logiciel Apple qui n'est pas associé à Bonjour. ”
