Uma vulnerabilidade crítica de segurança no aplicativo iTunes para usuários do Windows 10 e Windows 11 poderia ter permitido que invasores mal-intencionados executassem o código remotamente de forma arbitrária, confirmou a Apple em um documento de suporte publicado em 8 de maio.
O que é CVE-2024-27793?
Willy R. Vasquez, estudante de doutorado e pesquisador de segurança da Universidade do Texas em Austin, foi o responsável pela descoberta do CVE-2024-27793. A vulnerabilidade, classificada como crítica usando o Common Vulnerability Scoring System v3 , impacta a estrutura CoreMedia que define o pipeline de mídia usado em última instância para “ processar amostras de mídia e gerenciar filas de dados de mídia ”, de acordo com a Apple.
A Apple não “divulga, discute ou confirma problemas de segurança” até que uma investigação seja realizada e uma solução esteja disponível. A boa notícia é que essa correção já está disponível, mas os detalhes da vulnerabilidade permanecem poucos e raros.
Quais usuários são afetados pela vulnerabilidade do iTunes da Apple?
O que se sabe é que isso se aplica a versões do aplicativo iTunes para Windows anteriores a 12.13.2, lançadas em 8 de maio para coincidir com a postagem de segurança. Especificamente, os usuários do iTunes do aplicativo executado nas plataformas Windows 10 e 11 devem tomar nota. De acordo com o documento de segurança publicado pelo suporte da Apple, o impacto da vulnerabilidade é que “a análise de um arquivo pode levar ao encerramento inesperado do aplicativo ou à execução arbitrária de código”.
Em outras palavras, um invasor pode acionar uma solicitação criada com códigos maliciosos ao analisar um arquivo que poderia permitir a execução de código arbitrário. O invasor, deve-se dizer, não precisa ser alguém com acesso local à máquina Windows em questão. O fato de a vulnerabilidade poder levar a tal execução remota de código é o principal motivo para a classificação crítica do CVSS v3 de 9,1 em 10. Também se sabe que a vulnerabilidade nasceu de verificações inadequadas naquele componente da estrutura CoreMedia porque a Apple diz que era “ resolvido com verificações melhoradas.”