Windows的用户注意！请更新至最新版本的iTunes防范安全漏洞

Windows 用户需要保证正在使用的是最新版本的 iTunes，即 12.12.9，以防范最近发现的一项安全漏洞。

苹果公司在 5 月 23 日发布了 iTunes 12.12.9 版本，此版本解决了一个可能允许恶意应用获取更高权限并在 Windows 机器上安装恶意软件的问题。安全公司 Synopsys 今天分享了一些关于其工作原理的细节。

原本 iTunes 有一个权限较高的文件夹，但其访问控制较弱，允许恶意个体将文件夹创建重定向到 Windows 系统目录，然后可能用于获取权限更高的系统 shell。

iTunes 应用会以系统用户的身份在 C:ProgramDataApple ComputeriTunes 目录下创建一个名为 SC Info 的文件夹，并允许所有用户对此目录具有完全控制权。在安装后，第一个运行iTunes应用的用户可以删除 SC Info 文件夹，创建一个链接到 Windows 系统文件夹，并通过强制MSI修复来重新创建文件夹，这个文件夹后续可以被用于获取 Windows 系统级别的访问权限。

12.12.9 之前所有版本的 iTunes 都受到了这个漏洞的影响，因此，使用旧版本软件的iTunes用户应该及时更新至最新版本。

Synopsys 公司最初在 2022 年 9 月发现了这个问题，并且告知了苹果公司。苹果在 11 月确认了这个漏洞，然后在5月进行了修复。苹果表示这个漏洞并为广泛被利用，所以不像其他一些漏洞那样关键，但还是建议所有 Windows 用户立即安装最新版本的 iTunes 。