为切实加强网络暴力信息治理力度，营造良好的网络生态环境，国家互联网信息办公室根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律、行政法规，起草《网络暴力信息治理规定（征求意见稿）》（以下简称《规定》）。 《规定》共 31 条。第 1 条至第 4 条阐述了立法的目的，适用范围、网络暴力涉及的内容管理体制。第5条至第 23 条划定明确的网络信息提供商主体责任。第 24 至 29 条为监督及法律责任，规定管理部门的能力检查、工作监管职责以及运营者的违法情形与法律责任。 《规定》中划定的网络暴力信息是指通过网络对个人集中发布的，侮辱谩骂、造谣诽谤、侵犯隐私，以及严重影响身心健康的道德绑架、贬低歧视、恶意揣测等违法和不良的信息。 网络信息服务商应该怎样做？ 网络信息服务商应当履行内容主体责任。《规定》指出网络信息服务提供者应当履行信息内容管理主体责任，建立完善网络暴力信息治理机制，健全账号管理、信息发布审核、监测预警、举报救助、网络暴力信息处置等制度。 网络信息服务商应当制定管理规则，定期公布治理情况。《规定》第七条要求网络信息服务提供者制定和公开管理规则、平台公约，在用户协议中明确用户制作、复制、发布和传播网络暴力信息应承担的责任，并依法依约履行相应管理职责。此外，《规定》强调网络信息服务提供者应当定期发布网络暴力信息治理公告，并在网络信息内容生态治理工作年度报告中，报告相关工作情况。 网络信息服务商应当及时预警、处理网络暴力事件。《规定》第十一条指出网络信息服务提供者应当建立健全网络暴力信息预警模型，综合考虑事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等维度，及时发现预警网络暴力风险。 一旦发现网络暴力事件，《规定》第十二条要求网络信息服务提供者发现侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力信息的，应当采取删除屏蔽、断开链接、限制传播等处置措施。 网络信息服务商应当建立完善的用户保护机制。《规定》第十八条强调网络信息服务提供者应当建立完善网络暴力防护功能，提供一键关闭陌生人私信、评论、转发和消息提醒等设置。用户面临网络暴力风险时，应当及时发送系统信息，提示其启动一键防护。值得一提的是，在《规定》第二十三条中明确指出要加强对于未成年人用户的特殊、优先保护，网络信息服务提供者应当优先处理涉未成年人网络暴力信息举报。 对于互联网新闻信息服务单位，《规定》也做出相应要求，要求这些单位应当坚持正确的舆论导向，加强信息内容真实性、合法性审核，不得渲染炒作网络暴力事件，新闻信息跟帖评论实行先审后发。 最后，《规定》第十七条中明确要求任何组织和个人不得借网络暴力事件实施蹭炒热度、推广引流、故意带偏节奏或者跨平台搬运拼接虚假信息等恶意营销炒作行为。网络信息服务提供者不得为传播网络暴力的账号、机构等提供流量、资金等支持。 网信部门依法进行监督审查 在《规定》二十四条中明确了网信部门应当依法对网络信息服务提供者网络暴力信息治理工作落实情况进行监督检查。对于违法《规定》的网络信息服务提供者，依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。 注：法律、行政法规没有规定的，各级网信部门依据职责给予警告、通报批评，责令限期改正，可以并处一万元以上十万元以下罚款；因处置不及时造成公民生命健康安全等严重后果的，处十万元以上二十万元以下罚款，可责令暂停信息更新。网络信息服务提供者发起、组织网络暴力或借网络暴力事件实施恶意营销炒作等行为，应当依法从严从重处罚。 除履行监管责任外，网信部门应当会同有关部门建立健全信息共享、会商通报、取证调证、案件督办等工作机制，协同开展网络暴力信息治理工作。 对于用户层面的网络暴力，《规定》第二十八条中提出网络用户违反本规定的，网络信息服务提供者应当依法依约采取警示提醒、限制账号功能、关闭注销账号等处置措施；对首发、多发、组织、煽动发布网络暴力信息的，采取列入黑名单、禁止重新注册等处置措施。对借网络暴力事件实施恶意营销、违规营利等行为的，除前款规定外，应当依法依约采取清除新增粉丝、暂停营利权限等处置措施。     转自Freebuf，原文链接：https://www.freebuf.com/news/371416.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，继奥地利、法国和意大利之后，瑞典数据保护监督机构警告境内公司不要使用 Google Analytics，原因是美国政府的监控可能带来安全风险。 针对 Google Analytics 发布安全警告，是在瑞典隐私保护局（IMY）对四家公司 CDON，Coop，Dagens Industri和Tele2 发起审计后做出的决定。 审计过程中，IMY 认为通过 Google Analytics 传输到美国的数据是瑞典民众的个人数据，这些数据可以与传输的其它“独特”数据关联起来。 谷歌对发送到美国进行处理的欧洲用户数据采取的所谓补充措施不足以将保护水平提高到所需的法律标准。包括谷歌使用IP地址截断（匿名化措施），在 Tele2 案件中，谷歌表示该公司没有澄清截断是在数据传输到美国之前还是之后进行的，因此未能证明“在最后八位字节被截断之前无法访问整个 IP 地址”。 IMY 当局还指出，这几家公司采取的安全技术措施不足以满足与欧盟/欧洲经济区内要求的保护水准。 瑞典勒令相关公司禁止使用 Google Analytics 最终，数据保护机构还对瑞典电信服务提供商 Tele2 处以 110 万美元的罚款，对当地在线市场 CDON 的处以 3 万美元的罚款。值得一提的是，目前瑞典当局已经勒令 CDON、Coop 和 Dagens Industri 停止使用 Google Analytics 。（据说 Tele2 是自愿停止使用该服务） 从案件细节来看，此次针对 Google Analytics 的调查是基于隐私非营利组织（noyb）提出的投诉，指控其违反了《通用数据保护条例》（GDPR）法律。案件处理的进程鉴于潜在的监控担忧，即存储在美国服务器中的数据可能会被该国情报机构访问，这种欧盟和美国的数据传输被发现是非法的。 早在之前，欧盟方便就已经表现出对美国是否侵犯其民众安全隐私的担忧，类似 Meta 被欧盟数据保护机构处以创纪录的 13 亿美元罚款，就是很好的证明。目前，欧盟和美国正在敲定一项新的数据传输安排，称为“欧盟-美国数据隐私框架”。     转自 Freebuf，原文链接：https://www.freebuf.com/news/371152.html 封面来源于网络，如有侵权请联系删除

WordPress网站的终极会员插件中有多达20万个未修补的关键安全漏洞，如今面临着很高的攻击风险。 该漏洞被追踪为CVE-2023-3460 (CVSS得分：9.8)，影响所有版本的Ultimate Member插件，包括2023年6月29日发布的最新版本(2.6.6)。 Ultimate Member是一个比较受欢迎的插件，它有助于在WordPress网站上创建用户配置文件和社区，并可提供帐户管理功能。 WordPress安全公司WPScan在警报中提到，这是一个非常严重的问题，因为未经身份验证的攻击者可能会利用这个漏洞创建具有管理权限的新用户帐户，从而实现夺取网站的完全控制权。 但该漏洞源于不适当的阻止列表逻辑，所以无法将新用户的wp_capabilities用户元值更改为管理员的用户元值，从而获得对站点的完全访问权。 Wordfence研究员Chloe Chamberland称，虽然该插件有一个预先定义的禁用键列表。但还有一些更简单的方法可以绕过过滤器，例如在插件的易受攻击版本中利用各种大小写，斜杠和提供的元键值中的字符编码。 有报道称，受影响的网站上出现了一些非法管理员账户，因此该插件在2.6.4、2.6.5和2.6.6版本发布了部分修复程序，还有一个新的版本更新预计将在未来几天发布。 WPScan指出，这些补丁是不完整的，已经发现了许多绕过它们的方法，这意味着该漏洞仍然可以被积极利用，比如，该漏洞被用于以apadmins、se_野蛮、segs_野蛮、wpadmins、wpengine_backup和wpenginer等名称注册新帐户，通过网站的管理面板上传恶意插件和主题。 此外WPScan还建议广大用户，直到该安全漏洞被完全修复前，都建议Ultimate Member的用户禁用该插件，最好审计网站上的所有管理员级用户，以确定是否添加了未经授权的帐户。 终极会员2.6.7版发布 7月1日，Ultimate Member的作者发布了该插件的2.6.7版本，以解决被积极利用的特权升级漏洞。作为一项额外的安全措施，他们还计划在插件中发布一个新功能，使网站管理员能够重置所有用户的密码。 此外， 网站维护人员还表示：2.6.7引入了我们在发送表单时存储的元键白名单，并且分离了表单设置数据和提交数据，可在两个不同的变量中操作它们。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370917.html 封面来源于网络，如有侵权请联系删除

Brave团队近日宣布，以隐私为中心的浏览器将引入新的限制控制，允许用户指定站点访问本地网络资源的时间。 本地托管的资源包括你设备上的网络程序需要或使用的图像或文件，其他本地资源包括对你网络上的设备访问，如NAS实例、本地托管服务器、共享网络打印机文件、共享网络设备/计算机数据等。 网站和本地网络程序请求访问本地资源，是为了便于收集用户机器上运行的软件信息，这个操作很常见。 Brave方面表示，虽然这十分令人惊讶，但大多数浏览器都允许网站访问这些本地资源，就像它们访问网络上的其他资源一样容易。而且至少从2020年起，这种做法就被已经被记录在eBay、花旗银行、Chick-fil-A等网站上，作为相关网站上使用的反欺诈脚本的一部分。 Ebay过去的端口扫描用户（来源：StackExchange） Brave方面称，所有现代的浏览器，包括Chrome和Firefox，都允许网站请求访问本地资源，并且不受限制地使用它们。 Safari倒是会阻止这些请求，即便这些请求是来自安全的公共网站。但这是其安全措施的一个副作用，而不是阻止这种危险做法的具体设计决定。 目前，Brave正在引入一个本地主机访问权限来解决这个问题，同时仍然允许他们信任的网站在有限时间内访问本地资源。 新增本地主机资源权限提示（来源：Brave） “Brave是唯一能够阻止来自安全和不安全的公共网站对本地主机资源的请求的浏览器，同时仍然保持对用户信任的网站的兼容路径，”Brave团队承诺说。 从1.54版本开始（目前是1.52版本），Brave的桌面版和安卓版将包括更强大的功能，比如控制哪些网站可以访问本地网络资源，以及访问的时间。 默认情况下，没有网站会被授予访问本地主机资源的权限，因此用户可以通过在桌面上的 “Brave://settings/content/localhostAccess “或在安卓上的 “Settings > Site settings > Localhost Access “手动给予权限。 除了这个新的许可机制，Brave将使用过滤列表规则来阻止滥用本地主机访问的脚本和网站。同时，Brave还将维护和更新可信网站的允许列表，在用户第一次访问时，将提示用户是否允许他们访问本地网络资源。 不过那些针对本地主机资源的请求仍将被允许通过，而不需要特殊的权限。   转自 Freebuf，原文链接：https://www.freebuf.com/news/370638.html 封面来源于网络，如有侵权请联系删除

美国国家安全部（NSD）成立了一个新的网络部门，旨在能够更有力地应对高技术性的网络威胁。 这个新成立的部门，正式名称为国家网络安全科，是为了响应美国司法部 （DoJ） 2022 年全面网络审查中的核心调查结果而创建的。 该审查的任务是评估司法部的诉讼和调查能力，包括进攻和防御，以及司法部与其他联邦、州和地方执法机构以及私营部门的合作情况。 美国国家安全事务的助理司法部长马修 · 奥尔森（Matthew G. Olsen）表示：这个新部门将协助国家安全局提高打击网络攻击活动的规模和速度，并对民族、国家威胁者、国家支持的网络组织、相关的洗钱者以及其他由网络引起的对国家安全的威胁进行起诉。 奥尔森说，国家网络安全科不仅有助于加强与刑事部计算机犯罪和知识产权科（CCIPS）以及联邦调查局的合作，它还将成为全国94个美国检察官办公室和56个联邦调查局外地办事处的宝贵资源。 根据司法部的说法，新部门的定位是快速响应，一旦联邦调查局或IC合作伙伴发现网络威胁，他们将从最早的阶段进行支持调查和打击工作。 在公告中，奥尔森还谈到了司法部最近的政绩，即在5月份成功打击了俄罗斯犯罪分子对美国的两次重大网络活动。 最近一次是对一名俄罗斯国民因涉嫌参与LockBit和Hive勒索软件攻击的指控，其中包含对美国的关键基础设施，包括医院、学校、非营利组织和执法机构进行攻击。 据称，这位名叫米哈伊尔-马特维耶夫（Mikhail Matveev）的嫌疑人参与了超过65次针对1400个受害组织的网络攻击，在全球范围内收取超过2亿美元的赎金。逮捕他的悬赏金为1000万美元。 第二个案件涉及打掉一个复杂的俄罗斯间谍黑客网络，被称为Snake恶意软件网络，联邦调查局已经跟踪了近二十年。 据说，俄罗斯的间谍行动负责从至少50个国家的数百个计算机系统中窃取成千上万的敏感文件。 奥尔森说，网络安全事关国家安全，网络犯罪分子进攻手段不断进化，不断调整他们的战术，以渗透到我们的网络中并规避检测。 国家安全局致力于通过调整我们的战术和人员来应对我们的对手，将我们所有的工具、专业知识和网络安全人才带到这场战斗中。 司法部预计，国会正式批准的国家网络安全科将与国家安全部的反恐、反间谍科及出口管制科处于同一级别。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370017.html 封面来源于网络，如有侵权请联系删除

“多个”美国联邦政府机构在一次全球网络攻击中受到打击，该攻击利用了广泛使用的软件的一个漏洞。美国网络安全和基础设施安全局”正在向几个联邦机构提供支持，这些机构经历了影响其MOVEit应用程序的入侵”，该机构负责网络安全的执行助理主任埃里克-戈尔茨坦在周四发表的一份声明中提到了受影响的软件。”我们正在紧急工作，以了解影响并确保及时补救”。   目前还不清楚负责入侵联邦机构的黑客是否是一个讲俄语的勒索软件集团，该集团在黑客活动中声称对许多其他受害者负有责任。 当CNN询问谁对联邦机构实施了黑客攻击以及有多少人受到影响时，CISA发言人不予置评。 但这一消息使两周前开始的大规模黑客行动的受害者人数不断增加，并袭击了美国主要大学和州政府。黑客的疯狂攻击给联邦官员带来了压力，他们承诺要遏制勒索软件攻击的祸害，这些攻击已经使美国各地的学校、医院和地方政府陷入困境。 巴尔的摩的约翰-霍普金斯大学和该大学著名的医疗系统在本周的一份声明中说，”敏感的个人和财务信息”，包括医疗账单记录可能在黑客攻击中被盗。 与此同时，佐治亚州的全州大学系统–包括有4万名学生的佐治亚大学以及其他十几所州立学院和大学–证实它正在调查黑客攻击的”范围和严重性”。 一个名为CLOP的讲俄语的黑客组织上周声称对一些黑客行为负有责任，这些黑客行为还影响了英国广播公司、英国航空公司、石油巨头壳牌公司以及明尼苏达州和伊利诺伊州的州政府等的雇员。 俄罗斯黑客是第一个利用该漏洞的，但专家说，其他团体现在可能有机会获得进行攻击所需的软件代码。 该勒索软件集团给受害者提供了在周三之前与他们联系支付赎金的机会，之后他们开始在暗网的勒索网站上列出更多黑客的所谓受害者。截至周四上午，该黑暗网站没有列出任何美国联邦机构。 这一事件表明，如果被熟练的犯罪分子利用，一个软件缺陷可以产生广泛的影响。 这些黑客–一个知名的团体，其青睐的恶意软件在2019年出现–在5月底开始利用一个被称为MOVEit的广泛使用的文件传输软件的一个新缺陷，似乎是针对尽可能多的暴露的组织。黑客的机会主义性质使广大组织容易受到敲诈。 拥有MOVEit软件的美国公司Progress也敦促受害者更新其软件包，并发布了安全建议。       转自 cnBeta，原文链接：https://www.toutiao.com/article/7244966147140092473/ 封面来源于网络，如有侵权请联系删除

台湾电脑组件制造商技嘉公司宣布了BIOS更新，旨在消除最近在其数百块主板中发现的后门功能。固件和硬件安全公司Eclypsium上周披露的问题是，270多块技嘉主板的固件会在开机时执行一个Windows二进制文件，以从技嘉的服务器上获取和执行一个载荷。 作为一个与技嘉应用中心有关的功能，该后门似乎没有被用于恶意目的，但众所周知，威胁者在以前的攻击中曾滥用过这种工具。 当Eclypsium公开其发现时，它说目前还不清楚该后门是由恶意的内部人员、技嘉的服务器被破坏还是供应链攻击造成的。在Eclypsium发表报告后不久，技嘉公司宣布发布BIOS更新，解决该漏洞。 “技嘉的工程师已经减轻了潜在的风险，在对技嘉主板上的新BIOS进行全面测试和验证后，将英特尔700/600和AMD500/400系列Beta BIOS上传到了官方网站，”该公司在上周末宣布。 英特尔500/400和AMD 600系列芯片组主板以及之前发布的主板的BIOS更新也将在上周末发布。 该更新解决了”Eclypsium报告的下载助手漏洞”，A520 Aorus Elite rev 1.0主板可用的最新BIOS的发布说明中提到。该更新在系统启动时实施了更严格的安全检查，包括改进了对从远程服务器下载的文件的验证和对远程服务器证书的标准验证。 该公司表示，新的安全增强措施应能防止攻击者在启动过程中插入恶意代码，并应保证在此过程中下载的任何文件来自具有有效和可信证书的服务器。 机构和终端用户都应该查看Eclypsium列出的270多个受影响的主板型号，如果受到影响，应该前往技嘉的支持网站，检查并下载2023年6月1日之后发布的任何BIOS更新。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7241417883329397307/ 封面来源于网络，如有侵权请联系删除

FBI近日警告称，恶意行为者制作深度虚假内容来实施性勒索攻击的趋势正在上升。 性勒索是网络勒索形式的其中一种，这些恶意行为者通过公开泄露窃取或胁迫获得的露点图像和视频，来威胁他们的目标，通常是要求这些受害者支付封口费。 在许多性勒索案件中，那些泄露的内容其实并非真实影像，威胁行为者只是假装自己有访问权限，以达到最终勒索赎金的目的。 FBI警告说，性勒索者现在正在收集他们勒索目标的公开图像，比如发布在社交媒体平台上的无害图片和视频。然后将这些图像输入深度伪造内容创建工具，将其转化为人工智能生成的露骨色情内容。 虽然制作的图像或视频都不是真实的，但它们看起来非常真实，威胁行为者只要将这些材料发送给勒索目标的家人，同事等，极可能给受害者带来巨大的个人和声誉伤害。 截至2023年4月，FBI发现性勒索受害者报告使用虚假图像或视频的情况有所增加，而这些图像或视频均是基于他们在社交媒体网站或网页上发布的内容创建的，或者是在视频聊天中捕获的。 根据最近的受害者报告，恶意行为者通常要求： 1.付款(如金钱、礼品卡)，并威胁如果未收到资金，将图像或视频分享给家人或社交媒体朋友； 2.受害者发送真实的性主题图片或视频； FBI表示，有一些勒索者会跳过勒索部分，直接将制作好的视频发布到色情网站，在受害者不知情或未经其同意的情况下，将受害者暴露在大量观众面前。 在某些情况下，性勒索者还会利用这些公开上传的内容来增加受害者的压力，要求其支付从网站上删除发布的图像/视频的费用。 FBI报告称，不幸的是这种媒体操纵活动也影响到了未成年人。 如何保护自己 强大的人工智能内容创建工具正在高速迭代，提供便利的同时也为所有互联网用户创造了一个充满敌意的环境，尤其是那些敏感类别的用户。 比如，通过GitHub有多个免费的内容创建工具项目，它可以从目标面部的单个图像创建逼真的视频，不需要额外的训练或数据集。 这些工具中有许多都内置了防止滥用的保护措施，但那些在地下论坛和暗网市场上出售的工具却没有。 暗网上提供的色情创作工具（来源：卡巴斯基） FBI建议父母监控孩子的在线活动，并告诉他们在线分享个人信息的风险。此外，家长最好隔一段时间就在网上搜索一次，以确定他们的孩子在网上的曝光量，并在必要时采取行动删除内容。 在网上发布图片或视频的成年人应该限制在一个小的私人朋友圈内观看，以减少曝光。同时，孩子的脸应该尽量模糊处理。 最后，如果你在色情网站上发现了与你相关的AI虚假合成内容，请向有关部门报告，并联系托管平台，要求删除违规媒体。 英国最近以《在线安全法案》(Online Safety Bill)修正案的形式引入了一项法律，将未经同意分享深度造假的行为正式列为一种犯罪行为。 转自 Freebuf，原文链接：https://www.freebuf.com/news/368730.html 封面来源于网络，如有侵权请联系删除

据悉，由Aerospace打造的Moonlighter卫星，于6月5日随着SpaceX CRS-28商业补给任务而被发送到国际空间站（SSI），成为全球首个且唯一一个位于太空中的黑客沙箱，供安全社群用来测试卫星的安全性。 SpaceX预计于美国东部夏令时间（EDT）6月5日的晚上11点47分发射Falcon 9火箭，以执行美国太空总局（NASA）的SpaceX CRS-28补给任务，主要装载的是NASA预计于SSI上安装的新型太阳能电池数组。不过，随着SpaceX CRS-28任务升空的还有由美国大学生打造的SC-ODIN地球观测卫星、多个研究机构共同开发的太空感应器RADSAT-SK，以及由Aerospace所设计的Moonlighter。 其中，Moonlighter是个3U大小的立方卫星，尺寸为34x11x11厘米，上有34×30厘米的太阳能电池数组，内建各种太空应用与地球应用，并有一防火墙以与子系统隔离，像是部飞行计算机。 Moonlighter集成一个网路监控器，可用来监控传输流量，并有多个传感器来协助监控，也能于网路事件侦测演算法中导入人工智慧与机器学习，还可快速重置环境。 Aerospace为一非营利的美国组织，主要提供各种航空任务的技术指南与建议，从军事、民用到商业任务，其员工人数超过4,500名，该组织与美国太空系统指挥部（Space Systems Command）及美国空军研究实验室（Air Force Research Laboratory）共同打造了Moonlighter。 Moonlighter让安全研究人员首次可在太空轨道上进行卫星的即时网路安全测试，Aerospace则说研发Moonlighter的目的在于促进对太空系统网路安全的理解，以让它在实施防御性网路作战中发挥关键性的作用，也能用来制定攻击战术流程（TTP），验证太空中的网路安全评估与预防。 过去安全研究人员通常是在实验室或地面上的模拟环境中执行太空网路的安全测试，而Moonlighter将成为第一个真正位于太空的安全测试平台。 美国空军研究实验室针对卫星已连续举办3届的Hack-A-Sat黑客竞赛活动，并于今年4月展开第4届的Moonlighter资格赛，最终打算邀请5组人马参与今年8月11日至13日举行的DEF CON 31，借由攻击已开始于太空中运行的Moonlighter进行决赛。 Moonlighter预计会在今年8月开始运行。根据Hack-A-Sat官网上的说明，要成功攻击太空卫星通常需要同时具备网路与太空领域的技能，目前进入决选的名单尚未出炉。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/rXZG122Gr62pRwXjE_38rw 封面来源于网络，如有侵权请联系删除

苹果公司的iTunes在微软Windows系统上使用时存在一个安全漏洞，可能使攻击者劫持受影响设备的操作系统。虽然目前苹果已经打上了补丁，但该漏洞已经存在了六个月之久。 苹果公司于5月23日推出了适用于Windows10和Windows11的iTunes12.12.9版本更新。在11月24日确认该漏洞的存在后，至今已过去了近六个月。该漏洞最初是在两个月前被网络安全分析机构Synopsys研究中心发现的。 该漏洞被Synopsys标记为CVE-2023-32353，对其描述为 “本地权限升级漏洞”，创建访问控制较弱的特权文件夹。 Synopsys说：普通用户有可能将这个文件夹的创建重定向到Windows系统目录中。然后可以利用这一点获得更高级别的系统外壳。 iTunes的漏洞需要在C: Drive中创建一个文件夹，该文件夹有可能让任何从该设备访问该音乐应用程序的人完全控制该目录。 Synopsys说：安装后，第一个运行iTunes应用程序的用户可以删除SC信息文件夹（用于在特定设备上授权该应用程序），创建一个链接到Windows系统文件夹，并重新创建该文件夹。 根据Synopsys的说法，该漏洞的风险评级为7.8（满分10分），按照这个过程，威胁者可以 “获得Windows系统级的访问权限”。 Synopsys最后补充说，任何在补丁日期之前在微软Windows上使用的比12.12.9版本之前的苹果设备都可能受到影响。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368603.html 封面来源于网络，如有侵权请联系删除