6 月 2 日消息，蘋果官方于 5 月 23 日發(fā)布適用于 Win10、Win11 的 iTunes 12.12.9 版本更新，重點修復(fù)了提權(quán)漏洞，并推薦用戶盡快安裝。

根據(jù)蘋果官網(wǎng)發(fā)布的新聞稿，惡意軟件可以通過 iTunes 上的漏洞提升權(quán)限，從而在 Win10、Win11 設(shè)備上安裝惡意軟件。蘋果于上周發(fā)布的 iTunes 更新中修復(fù)了該漏洞，發(fā)現(xiàn)該漏洞的安全公司 Synopsys 今天分享了更多細節(jié)。

根據(jù)報道，簡要描述該漏洞細節(jié)如下：

此前 PC 版 iTunes 對于文件夾的權(quán)限掌控方面存在漏洞，允許攻擊者創(chuàng)建重定向到 Windows 系統(tǒng)目錄的文件夾，可用于獲取更高特權(quán)的系統(tǒng) shell。

iTunes 應(yīng)用程序在 C:\ProgramData\Apple Computer\iTunes 目錄中，以系統(tǒng)用戶身份創(chuàng)建一個文件夾 SC Info，并將此目錄的完全控制權(quán)授予所有用戶。

運行 iTunes 應(yīng)用程序的用戶可以刪除 SC Info 文件夾，創(chuàng)建指向 Windows 系統(tǒng)文件夾的鏈接，并通過強制 MSI 修復(fù)重新創(chuàng)建該文件夾，以后可用于獲得 Windows SYSTEM 級別的訪問權(quán)限。

Synopsys 于 2022 年 9 月首次發(fā)現(xiàn)該問題，并在當(dāng)時將此事告訴了蘋果。蘋果于去年 11 月確認了該漏洞，然后在 5 月對其修補。