آبل تصحح ثغرة أمنية في إصدار iTunes لنظام ويندوز

صححت شركة آبل ثغرة أمنية في تطبيق iTunes لنظام التشغيل ويندوز، والتي سمحت للمتسللين بالهروب من الاكتشاف وتجاوز أي تطبيقات لمكافحة الفيروسات وتثبيت تطبيق طلب الفدية BitPaymer.

وأصلحت عملاقة التكنولوجيا التي تتخذ من كوبرتينو مقرًا لها الثغرة في 7 أكتوبر عبر إصدارها iTunes 12.10.1 و iCloud 7.14 لنظام التشغيل ويندوز مباشرةً بعد الكشف عنها بشكل مسؤول.

وتأتي هذه النتائج – التي كشفت عنها شركة الأمن السيبراني مورفيسك Morphisec – في الوقت الذي قتلت فيه آبل تطبيق iTunes لنظام التشغيل macOS، واستبدلته بتطبيقات الموسيقى والبودكاست والتلفزيون في macOS Catalina، لكن التطبيق يستمر في العمل كالمعتاد على ويندوز.

ووفقًا لشركة الأمن السيبراني، فقد جرى استغلال ثغرة مسار غير معلنة – لم يتم رؤيتها في كثير من الأحيان – في أداة مساعدة Bonjour المضمنة مع iTunes و iCloud لتثبيت تطبيق طلب الفدية على أجهزة حواسيب مؤسسة غير محددة في صناعة السيارات.

وقالت Morphisec: لقد فوجئنا بنتائج التحقيق الذي أظهر أن أداة تحديث برامج آبل مثبتة على عدد كبير من أجهزة الحواسيب في مختلف المؤسسات.

وزاد خطر هذا الاستغلال من خلال حقيقة أنه عند إلغاء تثبيت iTunes، فإن أداة تحديث برامج آبل تظل مثبتة على جهاز الحاسب، ويجب إزالتها بشكل منفصل – لكن العديد من الأشخاص لا يدركون ذلك، لذا فإنهم ما يزالون عرضة لهذا الاستغلال بالرغم من أنهم تخلصوا سابقًا من iTunes.

ويجب على جميع المستخدمين تثبيت أحدث إصدار من iTunes و iCloud لسد الثغرة الأمنية الموجودة في الإصدار القديم من أداة تحديث برامج آبل.

وتستغل الثغرة الأمنية الخلل في أداة تحديث برامج آبل لاكتساب امتيازات مرتفعة، خاصة إذا كانت الخدمة تعمل كمستخدم مسؤول أو مدير للجهاز، مما يجعل من الممكن تثبيت جميع أنواع البرامج الضارة.

ومما يدعو إلى القلق أن Morphisec لاحظت أيضًا أنها اكتشفت المزيد من نقاط الضعف التي أبلغت بها شركة آبل، لكن الشركة لم تصححها بعد، وصححت شركة آبل هذه الثغرة الأمنية فقط حتى الآن.

ويصنف تطبيق BitPaymer أو iEncrypt على أنه نوعية عدوانية من تطبيقات طلب الفدية والتي لا تشفر ملفات البيانات فقط، بل أيضًا التطبيقات وملفات البرامج.