【ITBEAR科技資訊】6月2日消息,蘋果官方近日發(fā)布了一則消息,他們于5月23日推出了適用于Windows 10和Windows 11的iTunes 12.12.9版本更新。這次更新的重點(diǎn)是修復(fù)了一個重要的提權(quán)漏洞,并建議用戶盡快安裝該更新,以確保設(shè)備安全。
根據(jù)蘋果官方網(wǎng)站發(fā)布的新聞稿,該提權(quán)漏洞存在于舊版PC版iTunes中,惡意軟件可以利用該漏洞提升權(quán)限,并在Windows 10和Windows 11設(shè)備上安裝惡意軟件。漏洞的具體細(xì)節(jié)得到了安全公司Synopsys的確認(rèn),并在最近的一次漏洞披露中被公開分享。
據(jù)ITBEAR科技資訊了解,該漏洞主要涉及PC版iTunes對文件夾權(quán)限的控制。攻擊者可以利用這個漏洞創(chuàng)建指向Windows系統(tǒng)目錄的文件夾重定向,以獲取更高特權(quán)的系統(tǒng)shell。iTunes應(yīng)用程序會以系統(tǒng)用戶身份在C:\ProgramData\Apple Computer\iTunes目錄中創(chuàng)建一個名為"SC Info"的文件夾,并將該文件夾的完全控制權(quán)授予所有用戶。
運(yùn)行iTunes應(yīng)用程序的用戶可以刪除"SC Info"文件夾,并創(chuàng)建指向Windows系統(tǒng)文件夾的鏈接。通過強(qiáng)制MSI修復(fù)操作,"SC Info"文件夾會被重新創(chuàng)建,從而使攻擊者能夠獲得Windows系統(tǒng)級別的訪問權(quán)限。
Synopsys安全公司于2022年9月首次發(fā)現(xiàn)了這個問題,并向蘋果公司報告了該漏洞。蘋果在去年11月確認(rèn)了漏洞的存在,并在今年5月發(fā)布的iTunes更新中進(jìn)行了修補(bǔ)。通過此次更新,蘋果公司希望提醒用戶安裝最新版本的iTunes,以確保他們的設(shè)備免受潛在威脅的影響。
蘋果公司一直致力于保障用戶的安全和隱私。他們鼓勵用戶及時更新軟件,以享受最新的功能和修復(fù)已知漏洞,同時也建議用戶關(guān)注官方渠道的安全提示和建議,避免下載和安裝未知來源的應(yīng)用程序。
盡管蘋果已經(jīng)發(fā)布了修復(fù)漏洞的更新,但作為用戶,我們?nèi)匀恍枰3志璨⒉扇“踩胧ǘㄆ诟萝浖惭b可靠的安全防護(hù)軟件,并避免點(diǎn)擊可疑鏈接和下載未經(jīng)驗(yàn)證的應(yīng)用程序,以確保我們的設(shè)備和個人信息的安全。
