5月23日，苹果正式发布了针对Win10和Win11的iTunes 12.12.9版本更新，重点修复了提权漏洞，并建议用户尽快安装。

根据苹果官网发布的新闻稿，恶意软件可以通过iTunes的一个漏洞升级权限，从而在Win10和Win11设备上安装恶意软件。苹果在上周发布的iTunes更新中修复了该漏洞，发现该漏洞的安全公司Synopsys今天分享了更多细节。

据报道，该漏洞的详细情况简述如下:

此前，PC版iTunes在文件夹权限的控制上存在漏洞，使得攻击者可以创建重定向到Windows系统目录的文件夹，从而可以获得更具特权的系统外壳。

iTunes应用程序以系统用户的身份在目录C:\ Program Data \ Apple Computer \ iTunes中创建一个文件夹SC Info，并授予所有用户对该目录的完全控制权。

运行iTunes应用程序的用户可以删除SC Info文件夹，创建指向Windows系统文件夹的链接，并通过强制MSI修复来重新创建该文件夹，这可用于以后获得Windows系统级别的访问权限。

新思科技在2022年9月首次发现了这个问题，并在当时将此事告知了苹果公司。苹果在去年11月确认了该漏洞，然后在5月修复了该漏洞。