苹果正在开发新的音乐,电视和设备应用程序,以取代过时的WindowsiTunes,但与此同时,您应该确保iTunes在您的PC上是最新的。如果您没有最新版本,新的安全漏洞可能会造成严重损害。
Apple发布了适用于Windows的iTunes 12.12.9,其中包含对两个报告的安全漏洞的修复。第一个是CVE-2023-32353,它允许其他软件使用iTunes在安装过程中创建的文件夹来实现特权系统外壳。该漏洞是由Synopsys的安全顾问发现的。
Synopsys在一篇博客文章中说:“iTunes应用程序在[iTunes目录]中创建了一个文件夹SC Info作为系统用户,并将对该目录的完全控制权交给所有用户。安装后,第一个运行iTunes应用程序的用户可以删除SC Info文件夹,创建指向Windows系统文件夹的链接,并通过强制MSI修复重新创建该文件夹,以后可用于获得Windows SYSTEM级别的访问权限。
iTunes 更新还包括针对 CVE-2023-32351 的补丁,这是一个单独的问题,还允许其他软件通过 iTunes 获得提升的权限。目前尚不清楚到目前为止,这两个漏洞是否在野外使用过。
iTunes 12.12.9可从Apple的网站和Microsoft Store下载。它需要Windows 10或更高版本 - 对Windows 8,7和更早版本的支持在不久前结束。
领取专属 10元无门槛券
私享最新 技术干货