Windows 10 上的 iTunes 和 iCloud 應用程式中存在零日漏洞,允許在不觸發防毒保護的情況下安裝惡意軟體。該漏洞被利用來安裝名為 BitPaymer 的勒索軟體,該軟體會對受害者的整個硬碟或 SSD 進行加密。
雖然 Mac 用戶只是說隨著 macOS Catalina 的到來,告別 iTunes,該應用程式仍然可用Windows 10等迫切需要更新,就像 iCloud 一樣。蘋果剛剛修正了安全公司 Morphisec 發現的一個零日漏洞。這個缺陷來自於程式碼中的一個小錯誤你好組件包含在包裝中d'iTunes 和 d'iCloud。蘋果開發人員忘記用引號標記元件路徑。此缺陷在英文中被稱為「未引用的漏洞路徑」。
換句話說,如果程式位於 c:\program files\subdirectory 1\program.exe 中,攻擊者可以利用程式碼中路徑周圍缺少引號來執行位於位址 c: 的另一個資料夾中存在的惡意軟體: \程式檔案\子目錄1\惡意軟體。
當斷層設法逃脫了障礙物時,就變得更加危險。Windows 10 甚至防毒保護。 Morphisec 在其報告中解釋道,由於 Hello 廣為人知並帶有 Apple 的數位簽名,因此防毒保護演算法會忽略其操作,以避免 Windows 上的軟體衝突。該缺陷被利用來安裝名為 BitPaymer 的勒索軟體它會加密受感染電腦上的整個系統磁碟,並且要求支付贖金。此外,惡意軟體安裝程式沒有 .exe 副檔名,這使其完全不受防毒雷達的影響。
Apple 於 10 月 7 日在 Windows 10 上部署了修補程式。但是,可以透過以下方式應用修復程序安裝最新的 iTunes 和 iCloud 更新。
來源 :形態學
