在苹果公司发布升级版软件修正QuickTime 播放软件中4 个安全缺陷不到3 周后,QuickTime 又被曝出存在“危急”缺陷。
据eEye数字安全公司本周一发布的一份儿公告称,这一没有修正的缺陷能够使黑客远程执行代码。eEye表示,该缺陷影响在所有操作系统上运行的QuickTime ,但没有披露哪种版本特别危险。
eEye表示,它在10月31日向苹果通报了这一缺陷,它当时阐述了在苹果于10月12日发布的升级版软件中没有修正的缺陷。eEye的高级产品营销主管迈克说,eEye在11月3 日向公众发布了公告。
迈克表示,我们认为这一缺陷不会滋生互联网蠕虫,因为它要求用户的参与━━例如点击指向恶意网站或聊天对话的链接。但是,受影响的组件是缺省地打开的。
这一新发现的缺陷能够使黑客伪装为注册用户,远程启动可执行的代码。黑客可以在用户的计算机上执行用户可以执行的所有操作,如果用户具有管理员权限,黑客也将获得管理员权限。
苹果此前发布的QuickTime 7.0.3 修正了在Mac OS X和Windows 上运行的QuickTime 6.5.2 和7.0.1 中发现的缺陷,其中的一个缺陷可以被黑客用来发动拒绝服务攻击,另外3 个缺陷则可以被黑客用来远程执行代码,控制用户的计算机。
苹果已经承认收到了eEye的缺陷公告,但没有表明它是否,或者会在何时修正该缺陷。eEye的产品经理史蒂夫说,毫无疑问,这是苹果必须修正的一个缺陷。
