2007年11月26日消息，據(jù)外電報(bào)道，安全研究人員警告稱，蘋(píng)果QuickTime媒體播放軟件存在一個(gè)沒(méi)有修復(fù)的安全漏洞。攻擊這個(gè)安全漏洞的代碼已經(jīng)公開(kāi)了。因此，很快將出現(xiàn)對(duì)運(yùn)行Windows XP和Vista的電腦實(shí)施的攻擊。

截止到星期日（11月25日），還沒(méi)有聽(tīng)說(shuō)Mac OS X版本的這種媒體播放軟件是否也存在這個(gè)安全漏洞。

據(jù)賽門(mén)鐵克和美國(guó)計(jì)算機(jī)應(yīng)急反應(yīng)小組發(fā)布的警告稱，QuickTime 7.2和7.3（也可能包括早期版本）中的這個(gè)嚴(yán)重的安全漏洞存在于這個(gè)播放器軟件處理實(shí)時(shí)流協(xié)議（RTSP）的過(guò)程中。攻擊者能夠利用這個(gè)安全漏洞欺騙用戶訪問(wèn)惡意的或者托管特別制作的流內(nèi)容的被攻破的網(wǎng)站，或者說(shuō)服用戶打開(kāi)電子郵件附件中的QTL文件。

賽門(mén)鐵克稱波蘭研究人員Krystian Kloskowski是在星期五第一個(gè)報(bào)告在milw0rm.com網(wǎng)站發(fā)現(xiàn)這個(gè)零日攻擊安全漏洞的。星期六，Kloskowski發(fā)布了攻擊代碼。另一位網(wǎng)名為“InTeL”的研究人員發(fā)布了另一些概念證明樣本。這些攻擊代碼能夠在運(yùn)行QuickTime 7.2或者7.3的Windows XP SP2和Windows Vista計(jì)算機(jī)上運(yùn)行。

成功地利用這個(gè)安全漏洞能夠讓攻擊者安全額外的惡意軟件或者竊取口令等系統(tǒng)信息。如果攻擊失敗，這個(gè)攻擊只能引起QuickTime崩潰。

InTeL稱，蘋(píng)果開(kāi)發(fā)人員的一個(gè)錯(cuò)誤讓攻擊者能夠更容易對(duì)Vista系統(tǒng)實(shí)施攻擊。他說(shuō)，QuickTimePlayer的二進(jìn)制代碼沒(méi)有打開(kāi)ALSR（地址空間布局隨機(jī)化）功能。ALSR是Vista的一項(xiàng)安全功能，可以隨機(jī)地向內(nèi)存分配數(shù)據(jù)和應(yīng)用程序組件，如.exe和.dll文件，從而使攻擊者很難確定重要的功能和有漏洞的代碼的位置。

賽門(mén)鐵克分析師Anthony Roe稱，蘋(píng)果的這個(gè)疏忽使利用這個(gè)安全漏洞更容易。

標(biāo)簽： 安全 代碼 電子郵件 漏洞 媒體

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。