蘋果公司的iTunes在微軟Windows系統(tǒng)上使用時存在一個安全漏洞，可能使攻擊者劫持受影響設備的操作系統(tǒng)。雖然目前蘋果已經打上了補丁，但該漏洞已經存在了六個月之久。

蘋果公司于5月23日推出了適用于Windows10和Windows11的iTunes12.12.9版本更新。在11月24日確認該漏洞的存在后，至今已過去了近六個月。該漏洞最初是在兩個月前被網絡安全分析機構Synopsys研究中心發(fā)現的。

該漏洞被Synopsys標記為CVE-2023-32353，對其描述為 "本地權限升級漏洞"，創(chuàng)建訪問控制較弱的特權文件夾。

Synopsys說：普通用戶有可能將這個文件夾的創(chuàng)建重定向到Windows系統(tǒng)目錄中。然后可以利用這一點獲得更高級別的系統(tǒng)外殼。

iTunes的漏洞需要在C: Drive中創(chuàng)建一個文件夾，該文件夾有可能讓任何從該設備訪問該音樂應用程序的人完全控制該目錄。

Synopsys說：安裝后，第一個運行iTunes應用程序的用戶可以刪除SC信息文件夾（用于在特定設備上授權該應用程序），創(chuàng)建一個鏈接到Windows系統(tǒng)文件夾，并重新創(chuàng)建該文件夾。

根據Synopsys的說法，該漏洞的風險評級為7.8（滿分10分），按照這個過程，威脅者可以 "獲得Windows系統(tǒng)級的訪問權限"。

Synopsys最后補充說，任何在補丁日期之前在微軟Windows上使用的比12.12.9版本之前的蘋果設備都可能受到影響。