Une faille donne accès à tous vos fichiers dans iTunes

La faille, décrite comme CVE-2023-32353, peut être résolue grâce à la dernière mise à jour 12.12.9 d’iTunes pour Windows.

C’est le Synopsys Cybersecurity Research Center (CyRC) qui est à l’origine de la découverte d’une importante nouvelle faille dans iTunes sur Windows. Comme expliqué sur leur site internet, les chercheurs du centre de recherche ont découvert la faille CVE-2023-32353 dans le logiciel de musique d’Apple. Et non des moindres, puisque l’utilisation de cette faille peut entraîner une escalade locale des privilèges systèmes.

En d’autres termes, si une personne malintentionnée exploite cette faille, elle pourrait avoir un accès quasi illimité aux fichiers, données ou encore aux paramètres systèmes. Pire encore, si elle atteint les privilèges d’administrateur, elle peut même envisager d’installer des logiciels sur votre ordinateur ou y gérer les différents profils configurés.

Concrètement, c’est un dossier nommé “SC Info” et créé par iTunes qui est la source du problème. Seul le système est censé avoir accès à ce dossier, mais iTunes y donne l’accès à tous les utilisateurs, qui peuvent le supprimer et rediriger vers un nouveau dossier grâce à un système de réparation. C’est ce nouveau dossier qui est exploité.

Heureusement, Apple a publi un correctif, mais on ne pense pas toujours à l’installer. Ainsi, si vous utilisez une version d’iTunes pour Windows antérieure à 12.12.9, faites très rapidement la mise à jour.