(資料圖片僅供參考)
IT之家 6 月 2 日消息,蘋果官方于 5 月 23 日發布適用于 Win10、Win11 的 iTunes 12.12.9 版本更新,重點修復了提權漏洞,并推薦用戶盡快安裝。
根據蘋果官網發布的新聞稿,惡意軟件可以通過 iTunes 上的漏洞提升權限,從而在 Win10、Win11 設備上安裝惡意軟件。蘋果于上周發布的 iTunes 更新中修復了該漏洞,發現該漏洞的安全公司 Synopsys 今天分享了更多細節。
IT之家根據報道,簡要描述該漏洞細節如下:
此前 PC 版 iTunes 對于文件夾的權限掌控方面存在漏洞,允許攻擊者創建重定向到 Windows 系統目錄的文件夾,可用于獲取更高特權的系統 shell。
iTunes 應用程序在 C:\ProgramData\Apple Computer\iTunes 目錄中,以系統用戶身份創建一個文件夾 SC Info,并將此目錄的完全控制權授予所有用戶。
運行 iTunes 應用程序的用戶可以刪除 SC Info 文件夾,創建指向 Windows 系統文件夾的鏈接,并通過強制 MSI 修復重新創建該文件夾,以后可用于獲得 Windows SYSTEM 級別的訪問權限。
Synopsys 于 2022 年 9 月首次發現該問題,并在當時將此事告訴了蘋果。蘋果于去年 11 月確認了該漏洞,然后在 5 月對其修補。
責任編輯:Rex_02
營業執照公示信息