廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2210 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[漏洞修補] 蘋果QuickTime漏洞代碼曝光 XP/Vista存風險
蘋果QuickTime漏洞代碼曝光 XP/Vista存風險
http://big5.ccidnet.com:89/gate/big5/news.cci...71126/1286081_1.html
發佈時間:2007.11.26 07:44   來源:賽迪網   作者:天虹

【賽迪網訊】11月26日消息,據外電報道,安全研究人員警告稱,蘋果QuickTime媒體播放軟體存在一個沒有修復的安全漏洞。攻擊這個安全漏洞的代碼已經公開了。因此,很快將出現對運行Windows XP和Vista的電腦實施的攻擊。

截止到星期日(11月25日),還沒有聽說Mac OS X版本的這種媒體播放軟體是否也存在這個安全漏洞。

據賽門鐵克和美國電腦應急反應小組發佈的警告稱,QuickTime 7.2和7.3(也可能包括早期版本)中的這個嚴重的安全漏洞存在於這個播放器軟體處理實時流協議(RTSP)的過程中。攻擊者能夠利用這個安全漏洞欺騙用戶訪問惡意的或者託管特別製作的流內容的被攻破的網站,或者說服用戶打開電子郵件附件中的QTL文件。

賽門鐵克稱波蘭研究人員Krystian Kloskowski是在星期五第一個報告在milw0rm.com網站發現這個零日攻擊安全漏洞的。星期六,Kloskowski發佈了攻擊代碼。另一位網名為“InTeL”的研究人員發佈了另一些概念證明樣本。這些攻擊代碼能夠在運行QuickTime 7.2或者7.3的Windows XP SP2和Windows Vista電腦上運行。

成功地利用這個安全漏洞能夠讓攻擊者安全額外的惡意軟體或者竊取密碼等系統資訊。如果攻擊失敗,這個攻擊只能引起QuickTime崩潰。

InTeL稱,蘋果開發人員的一個錯誤讓攻擊者能夠更容易對Vista系統實施攻擊。他說,QuickTimePlayer的二進位代碼沒有打開ALSR(地址空間佈局隨機化)功能。ALSR是Vista的一項安全功能,可以隨機地向記憶體分配數據和應用程式組件,如.exe和.dll文件,從而使攻擊者很難確定重要的功能和有漏洞的代碼的位置。

賽門鐵克分析師Anthony Roe稱,蘋果的這個疏忽使利用這個安全漏洞更容易。

(責任編輯:胡祥寶)



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-12-04 04:34 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.154730 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言