Windows版iTunes零时差漏洞遭用以散布BitPaymer勒索软体 文/林妍溱 | 2019-10-11发表 安全研究人员发现骇客利用Windows版iTunes及iCloud for Windows中的零时差攻击漏洞 ，躲过防毒软体侦测、对Windows PC用户散布勒索程式BitPaymer。 安全公司Morphisec Labs首先在8月发现BitPaymer感染一家汽车制造商。BitPaymer在7月 间被侦测到在美国感染15家企业。但本波攻击中，这只勒索程式使用的路径是一个「不带 引号的服务路径（Unquoted service Path）」零时差漏洞，存在於Windows版iTunes及 iCloud for Windows的Bonjour Updater软体元件中。 研究人员指出，这类漏洞是物件导向程式开发中常见的错误，有时开发人员以为服务路径 派发变项时，只使用String型态的变数就够了，但实际上路径还需要加上引号（quote） 标示，如"\\"。攻击者可以用恶意档案来置换原有可执行档，这类漏洞过去在VPN软体研 究很知名，因为它出现在具管理员权限的服务或其他行程，可被用以发动权限升级攻击， 但并未被广为使用。 MorphiSec发现骇客界利用苹果Bonjour Updater来攻击这项漏洞。Bonjour Updater是包 含在苹果app中用於下载更新的机制，包括iTunes。但它有自己独特的安装入口和执行作 业排程。鲜为人知的是，移除iTunes并不会同时移除Bonjour，它必须分开移除。因此许 多企业电脑即使多年前移除了iTunes，电脑上还有未更新，但仍持续背景运作的Bonjour 。 Bonjour属於合法行程，通常会被安全软体如防毒程式扫瞄引擎忽略，使其下恶意子行程 ，也不会触发警告，像是MorphiSec这次发现的BitPaymer。 mac版iTunes已随着最新的macOS Catalina释出退役，Windows版iTunes，以及Windows 版 iCloud app用户是这项漏洞及BitPaymer的高风险群。在MorphiSec向苹果通报後，苹果已 经发布修补漏洞的Windows版iTunes 12.10.1 及 iCloud for Windows 10.7。 由於已有攻击发生中，安全公司也呼吁用户尽速升级到最新版程式及防毒软体。 https://www.ithome.com.tw/news/133574 所以未来要移除iTunes的话还是要把Bonjour的服务一起移除 但其他外媒只有说在Windows版本有这个漏洞。Mac上的旧版iTunes没有这个问题 -- 标题 [新闻] 狂！大谷翔平敲三分炮 大联盟首轰震撼美 时间 Wed Apr 4 11:36:35 2018 2018/04/05 [新闻]大谷翔平连2场开轰　今天苦主是去年赛扬投手 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.116.4.227 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/iOS/M.1571122427.A.0BC.html ※ 编辑: hn9480412 (122.116.4.227 台湾), 10/15/2019 14:55:31