苹果缺陷月每天公布一漏洞 QuickTime首当其冲

专家警告称，苹果QuickTime 软件中一个新发现的安全缺陷使得Mac和Windows PC可能受到攻击。

本周一，该安全缺陷和详细的攻击代码的公开发布拉开了“苹果缺陷月”项目的大幕。该项目的目标是1月份期间每天公布苹果软件中的一个缺陷。

据“苹果缺陷月”项目的网站称，QuickTime 缺陷与其处理Real Time Streaming Protocol（RTSP）的方式有关。黑客可以在恶意的QuickTime 文件中制作一个特别的RTSP串，触发缓冲区溢出缺陷。

“苹果缺陷月”项目代号为LMH 的安全研究人员说。该缺陷的危险在于黑客会危害用户的系统，他们可以以用户的权限执行任意操作。黑客可以通过JavaScript、Flash 、链接、QTL 文件，以及其它能够启动QuickTime 软件的方法触发攻击。

这一缺陷影响在Mac OS X和Windows上运行的QuickTime 7.1.3，以前版本的QuickTime也可能会受到影响。Secunia和法国安全事故反应团队（FrSIRT）对QuickTime缺陷的评级分别为“极度危急”、“危急”。

苹果发言人纳亚说，苹果一贯欢迎就如何改进Mac系统的安全性提出宝贵意见。纳亚没有就该缺陷发表评论，也没有披露苹果是否会发布补丁软件。

SANS互联网风暴中心表示，QuickTime用户可以通过关闭对RTSP的支持保护自己不会受到攻击。它公布了如何在Windows PC和Mac 上关闭对RTSP支持的方法。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001