IT采购网6月2日消息,苹果官方近日发布了一则消息,他们于5月23日推出了适用于Windows 10和Windows 11的iTunes12.12.9版本更新。这次更新的重点是修复了一个重要的提权漏洞,并建议用户尽快安装该更新,以确保设备安全。
根据苹果官方网站发布的新闻稿,该提权漏洞存在于旧版PC版iTunes中,恶意软件可以利用该漏洞提升权限,并在Windows 10和Windows11设备上安装恶意软件。漏洞的具体细节得到了安全公司Synopsys的确认,并在最近的一次漏洞披露中被公开分享。
据IT采购网了解,该漏洞主要涉及PC版iTunes对文件夹权限的控制。攻击者可以利用这个漏洞创建指向Windows系统目录的文件夹重定向,以获取更高特权的系统shell。iTunes应用程序会以系统用户身份在C:ProgramDataAppleComputeriTunes目录中创建一个名为"SC Info"的文件夹,并将该文件夹的完全控制权授予所有用户。
运行iTunes应用程序的用户可以删除"SC Info"文件夹,并创建指向Windows系统文件夹的链接。通过强制MSI修复操作,"SCInfo"文件夹会被重新创建,从而使攻击者能够获得Windows系统级别的访问权限。
Synopsys安全公司于2022年9月首次发现了这个问题,并向苹果公司报告了该漏洞。苹果在去年11月确认了漏洞的存在,并在今年5月发布的iTunes更新中进行了修补。通过此次更新,苹果公司希望提醒用户安装最新版本的iTunes,以确保他们的设备免受潜在威胁的影响。
苹果公司一直致力于保障用户的安全和隐私。他们鼓励用户及时更新软件,以享受最新的功能和修复已知漏洞,同时也建议用户关注官方渠道的安全提示和建议,避免下载和安装未知来源的应用程序。
尽管苹果已经发布了修复漏洞的更新,但作为用户,我们仍然需要保持警惕并采取安全措施,包括定期更新软件、安装可靠的安全防护软件,并避免点击可疑链接和下载未经验证的应用程序,以确保我们的设备和个人信息的安全。