6 月 2 日消息，蘋果官方于 5 月 23 日發布適用于 Win10、Win11 的 iTunes 12.12.9 版本更新，重點修復了提權漏洞，并推薦用戶盡快安裝。

根據蘋果官網發布的新聞稿，惡意軟件可以通過 iTunes 上的漏洞提升權限，從而在 Win10、Win11 設備上安裝惡意軟件。蘋果于上周發布的 iTunes 更新中修復了該漏洞，發現該漏洞的安全公司 Synopsys 今天分享了更多細節。

根據報道，簡要描述該漏洞細節如下：

此前 PC 版 iTunes 對于文件夾的權限掌控方面存在漏洞，允許攻擊者創建重定向到 Windows 系統目錄的文件夾，可用于獲取更高特權的系統 shell。

iTunes 應用程序在 C:\ProgramData\Apple Computer\iTunes 目錄中，以系統用戶身份創建一個文件夾 SC Info，并將此目錄的完全控制權授予所有用戶。

運行 iTunes 應用程序的用戶可以刪除 SC Info 文件夾，創建指向 Windows 系統文件夾的鏈接，并通過強制 MSI 修復重新創建該文件夾，以后可用于獲得 Windows SYSTEM 級別的訪問權限。

Synopsys 于 2022 年 9 月首次發現該問題，并在當時將此事告訴了蘋果。蘋果于去年 11 月確認了該漏洞，然后在 5 月對其修補。