新闻 立即在 Windows 上更新 iTunes 以修复安全漏洞

苹果正在开发新的音乐，电视和设备应用程序，以取代过时的WindowsiTunes，但与此同时，您应该确保iTunes在您的PC上是最新的。如果您没有最新版本，新的安全漏洞可能会造成严重损害。

Apple发布了适用于Windows的iTunes 12.12.9，其中包含对两个报告的安全漏洞的修复。第一个是CVE-2023-32353，它允许其他软件使用iTunes在安装过程中创建的文件夹来实现特权系统外壳。该漏洞是由Synopsys的安全顾问发现的。

Synopsys在一篇博客文章中说：“iTunes应用程序在[iTunes目录]中创建了一个文件夹SC Info作为系统用户，并将对该目录的完全控制权交给所有用户。安装后，第一个运行iTunes应用程序的用户可以删除SC Info文件夹，创建指向Windows系统文件夹的链接，并通过强制MSI修复重新创建该文件夹，以后可用于获得Windows SYSTEM级别的访问权限。

iTunes 更新还包括针对 CVE-2023-32351 的补丁，这是一个单独的问题，还允许其他软件通过 iTunes 获得提升的权限。目前尚不清楚到目前为止，这两个漏洞是否在野外使用过。

iTunes 12.12.9可从Apple的网站和Microsoft Store下载。它需要Windows 10或更高版本 - 对Windows 8，7和更早版本的支持在不久前结束。