回到首页| 网络安全 名人故事 申请书 | 名人名言 财富榜 关于我们

当前位置:名人故事传 > 互联网 > Win服务器 > > 正文

苹果终止更新Windows版QuickTime,安全公司呼吁有漏洞快移除

07-24  Win服务器     来源: 未知  
苹果终止更新Windows版QuickTime,安全公司呼吁有漏洞快移除
资安业者揭露Windows版QuickTime中存在两个重大漏洞,尽管去年11月已通知苹果,但苹果迟迟未修补,并在今年1月终止Windows版QuickTime安全更新,安全公司呼吁用户尽快移除以避免受到攻击。
苹果一月起终止Windows版QuickTime的安全更新后,出现2个安全漏洞,安全公司呼吁唯有移除才能免于攻击。
安全业者TippingPoint旗下的零时攻击研究计画(Zero Day Initiative)于上周针对ZDI-16-241以及ZDI-16-242两项漏洞发布安全公告,揭露Windows版QuickTime中两个新发现的重大漏洞。
其中ZDI-16-241为moov Atom堆积损毁(heap corruption)远端程式码执行漏洞,攻击者对moov atom栏位中发出错误值,进而在分配的堆积缓冲区之外写入资料,借机在QuickTime播放器环境下执行任意程式码。 ZDI-16-242也是堆积损毁远端程式码执行漏洞,只是位于QuickTime Atom处理过程中。两项漏洞可能导致机密资料被窃或系统资源与公司资产受损。
值得注意的是,安全厂商在去年11月即已通知,然苹果迟迟未修补这两项漏洞,零时计画乃依据该部门针对此类情况的政策,径行发布漏洞公告。
苹果最近一次是在一月发布Windows 版QuickTime 7.7.8。趋势科技指出,由于苹果已不再发布Windows 版QuickTime 安全更新,因此这两个漏洞也将不会获得修补。
年初的更新已移除QuickTime浏览器外挂,使得恶意程式无法透过网页挂马攻击入侵,需要使用者点入恶意网站或开启恶意档案程式才能骇入QuickTime。
趋势科技表示,虽然目前没有发现相关的攻击,但由于永远丧失了苹果的支援,因此Windows用户自保之道是将之移除。美国电脑紧急应变小组(US-CERT)也对此发布安全警告。苹果也公布QuickTime 7 for Windows的移除指示。
苹果并未正式公布QuickTime停止支援Windows的消息,但Ars Technica表示这项计画已酝酿至少数个月之久。 QuickTime则从未支援过Windows 8 及10。
随着大厂的产品支援到期,许多软体成为孤儿而令用户身陷资安风险。除了Windows版QuickTime外,知名拥有广大用户但无法获得更新的软体还包括Windows XP及Oracle Java 6。
互联网 网络安全 申请书 创业资讯 创业故事明朝十六帝故事
© 2012-2022 名人故事传网版权所有 关于我们 | 版权声明 | 网站协议 | 友情申请 | 免责声明 | 网站地图 | 联系我们 | 广告服务