QuickTime 漏洞被發現!蘋果宣佈放棄修補及終止提供支援
QuickTime 漏洞被發現!蘋果宣佈放棄修補及終止提供支援
剛剛安全廠商趨勢科技 Zero Day Initiative 發現了兩個新的 QuickTime for Windows 漏洞,並分別發出了兩項安全公告:ZDI-16-241及 ZDI-16-242。不久後,Apple 即宣布即將終止對該軟體的支援。
這兩個漏洞可能讓駭客從遠端執行程式碼,進而掌控受害的電腦,若企業使用者遭受入侵,這等於是敞開大門讓駭客進入全公司網路。
目前尚未看到有任何攻擊已利用這些漏洞,但問題是,繼 Microsoft Windows XP 和 Oracle Java 6 之後,QuickTime for Windows 軟體現在也加入了支援終止的行列,因此未來不會再釋出更新來修補漏洞。所以,在這兩個漏洞永遠沒有機會修補的情況之下,其資安風險將隨著被發現的漏洞數量而不斷升高。最終辦法還是只有依照 Apple 建議將 QuickTime for Windows 解除安裝這一個方法。
據了解,漏洞是由於 Heap 記憶體損毀而引起的,駭黑可通過此漏洞遠端執行程式碼,最終更可通過漏洞將資料寫入系統配置的 Heap 緩衝區之外,十分危險!另一個漏洞在 stco atom 之中,通過此漏洞駭客可將資料寫入系統配置的 Heap 緩衝區之外。
接著用户將會被誘使連上某個附有惡意程式的網站,並讓你執行一個惡意檔案;當這檔案被執行後,由於其能自動繼承當時 QuickTime 所採用的系統權限,因而可令駭客再進一步通過向目標電腦發出指令,從而執行一些需要更高系統權限的動作,對用户的系統將造成很嚴重的問題。
Windows 的用户請立即刪除 QuickTime;而此漏洞暫時並未對 Mac 用户構成影響。