Wer ein iPhone oder iPad besitzt, bei Computern aber auf Windows setzt, nutzt sehr häufig iTunes. Auch als Werkzeug für die Verwaltung von Musik- oder Videodateien erfreut sich die App aus Cupertino einiger Beliebtheit, zudem benötigen PC-Eigner sie für Einkäufe im iTunes Store. Seit einiger Zeit droht Nutzern von iTunes für Windows allerdings Gefahr, denn in Apples Anwendung schlummert eine Sicherheitslücke.


iTunes-Schwachstelle verschafft Angreifern Systemrechte
Die Sicherheitsexperten des Synopsys Cybersecurity Research Center (CyRC) entdeckten die Schwachstelle bereits gegen Ende des vergangenen Jahres, machten sie aber erst jetzt in ihrem Blog öffentlich (siehe ). Die Lücke mit der Kennung CVE-2023-32353 ermöglicht es Angreifern, sich Systemrechte zu verschaffen. Hacker können dadurch nicht nur Zugriff auf alle Daten erlangen, die auf dem Rechner vorhanden sind, sondern auch Malware einschleusen. Darüber hinaus ist es ihnen möglich, sensible Informationen auszuschnüffeln oder Datenträger zu verschlüsseln, um anschließend Lösegeld zu fordern. Zudem kann die Schwachstelle als Einfallstor in lokale Netzwerke dienen und somit genutzt werden, um Angriffe auf weitere Rechner zu lancieren.

Versteckter Ordner als Ursache der Sicherheitslücke
Kern des Problems ist ein versteckter Ordner namens „SC Info“. Er dient dazu, die Autorisierungsinformationen für iTunes zu speichern und wird von der App automatisch im Verzeichnis C:\ProgramData\Apple Computer\iTunes angelegt – und zwar mit Systemrechten. Der erste Nutzer, welcher iTunes startet, kann ihn allerdings löschen, einen Link zum Windows-Systemordner erzeugen und dann „SC Info“ erneut anlegen lassen, indem er einen Reparaturvorgang für die iTunes-Installation auslöst. Das führt schlussendlich dazu, dass ein normaler Nutzer über Systemrechte verfügt und somit nahezu nach Belieben auf dem Rechner schalten und walten kann, ohne dass die Eingabe eines Administratorpassworts erforderlich ist.

Apple hat den Bug in iTunes 12.12.9 behoben
Die Sicherheitsforscher informierten Apple bereits vor einiger Zeit über die Sicherheitslücke. Das kalifornische Unternehmen hat reagiert und mittlerweile Version 12.12.9 von iTunes für Windows veröffentlicht, welche die Schwachstelle behebt. Nutzer der Software sollten das Update umgehend einspielen. Da der Bug nunmehr bekannt ist, steht zu erwarten, dass Angreifer ihn in nächster Zeit auszunutzen versuchen.

iTunes für Windows im Microsoft Store