Apple ha publicado parches para una vulnerabilidad zero day descubierta el pasado de mes de agosto por investigadores de seguridad de Morphisec. El fallo afecta específicamente a Bonjour, el actualizador que viene empaquetado con la versión de iTunes para Windows.

La vulnerabilidad fue reportada a Apple de forma responsable y no fue hecha pública hasta ser solucionada por los de Cupertino. Según los investigadores, la vulnerabilidad estaba siendo abusada para evitar detección en una campaña del ransomware BitPaymer.

El problema que afecta a las versiones de iTunes para Windows 7/8.1/10, puede permitir la ejecución arbitraria de código a través de un archivo malicioso creado especialmente para ello. El problema es una vulnerabilidad por utilizar rutas sin comillas en el código, un conocido bug bien documentado que lleva a vulnerabilidades porque los programadores no añaden comillas a las rutas cuando le asignan variables.

Actualiza iTunes o asegúrate de desinstalar Bonjour

Bonjour, que es el mecanismo que Apple utiliza para actualizar iTunes, incluye una de estas rutas sin comillas. Esto quiere decir que un atacante puede explotar la falta de comillas en la ruta dentro del código de este para ejecutar un programa malicioso presente en otra carpeta.

En Genbeta

Todas las funciones de macOS Catalina que puedes aprovechar para ser más productivo

iTunes para Windows 10

Este método puede ser usado también para ganar privilegios elevados, especialmente si el servicio se está ejecutando como …