在苹果公司发布了一款修补出现在其QuickTime播放软件中4个安全漏洞的升级版软件之后还不到3周的时间,一款新的“危急”漏洞又被发现在QuickTime中。
据来自eEye数字安全公司本周一发布的一份儿公告中显示,这一还未得到修补的漏洞能够使黑客远程执行代码。据这一安全公司表示,此漏洞将影响到在所有类型的操作系统上运行的苹果公司QuickTime的各种版本,但没有说明哪一种版本受到的影响最大。据eEye公司表示,它于10月31日向苹果公司通报了出现的这一漏洞,而且它还对苹果公司在10月12日发布的升级版软件中没有修布的漏洞进行了阐述。据eEye公司的高级产品营销主管迈克表示,eEye公司在11月3日向公众发布了公告。据迈克认为,出现的这一漏洞不会导致互联网蠕虫的滋生,因为它要求用户的参与(诸如点击指向恶意网站或聊天对话的链接等)。然而,这一受到影响的组件是缺省地打开的。
这一最新发现的漏洞能够使黑客伪装成注册用户,进行远程启动可执行的代码。例如,黑客可以在用户的计算机上执行用户可以执行的任何操作,如果该用户具有管理员权限,那么黑客也将能够获得管理员权限。苹果公司在此前发布的QuickTime 7.0.3版修补了在Mac OS X和Windows操作系统上运行的QuickTime 6.5.2和7.0.1版中发现的漏洞,发现的其中的一个漏洞可以被黑客用来发动拒绝服务攻击,而发现的另外的3个漏洞则可以被黑客用来远程执行代码,并对用户的计算机进行控制。
尽管苹果公司目前已经承认自己收到了eEye公司发出的关于这一漏洞的公告,但它却没有明确表明它是否或者打算在何时修补这一漏洞。据eEye公司的产品经理史蒂夫表示,从客观上来看,这是苹果公司必须进行修补的一个漏洞。