苹果QuickTime 暴出严重安全漏洞

  　　Secunia公司最近报告称,苹果公司媒体流程序QuickTime中存在着一个“非常严重的”安全漏洞. 这个安全漏洞影响到了苹果最新版本的QuickTime软件,目前苹果还没有为这个安全漏洞提供升级补丁.据悉,黑客可以利用这个安全漏洞获得受害计算机 的远程控制权.Secunia公司于星期一发布了一份建议,这份建议称,当 QuickTime处理实时流协议(Real Time Streaming Protocol)申请时,程序中会存在边界错误.实时流协议可以允许客户获得视频流的远程控制权.

　　据Secunia公司透露,目前对该漏洞攻击代码的研究非常流行,Secunia公司还从另外一家安全网站那里获得了漏洞代码,这家安全网站是最先报道苹果QuickTime软件该漏洞代码的网站,该漏洞代码的发现者是波兰安全研究人员克尔斯坦 ·克洛斯科沃斯基(Krystian Kloskowski).

　　据克洛斯科沃斯基透露,漏洞攻击代码可以在微软的Windows Vista操作系统和使用微软Windows XP Service Pack 2的操作系统中执行.

　　赛门铁克公司安全研究员伊莉娜·弗洛里奥(Elia Florio)在赛门铁克安全反应博客中写到,一些QuickTime浏览器插件似乎可以防止任何外壳代码的执行.

　　弗洛里奥还表示,如果使用微软IE6或IE7时以及Safari 3 Beta版等浏览器时,这些攻击是可以被防止的,因为标准的缓冲器溢出防范进程会在造成任何危害之前执行.据弗洛里奥透露,如果使用Firefox浏览器,QuickTime的实时流协议回应没有被限止.因此,如果QuickTime是Firefox浏览器的默认媒体播放器,那么黑客则能迅速成功.