黑基网 首页 服务器 Windows Server 查看内容

苹果终止更新Windows版QuickTime,安全公司呼吁有漏洞快移除

2016-4-19 15:32| 投稿: son850318

摘要: 苹果终止更新Windows版QuickTime,安全公司呼吁有漏洞快移除资安业者揭露Windows版QuickTime中存在两个重大漏洞,尽管去年11月已通知苹果,但苹果迟迟未修补,并在今年1月终止Windows版QuickTime安全更新,安全公司 ...
苹果终止更新Windows版QuickTime,安全公司呼吁有漏洞快移除

资安业者揭露Windows版QuickTime中存在两个重大漏洞,尽管去年11月已通知苹果,但苹果迟迟未修补,并在今年1月终止Windows版QuickTime安全更新,安全公司呼吁用户尽快移除以避免受到攻击。

苹果一月起终止Windows版QuickTime的安全更新后,出现2个安全漏洞,安全公司呼吁唯有移除才能免于攻击。

安全业者TippingPoint旗下的零时攻击研究计画(Zero Day Initiative)于上周针对ZDI-16-241以及ZDI-16-242两项漏洞发布安全公告,揭露Windows版QuickTime中两个新发现的重大漏洞。

其中ZDI-16-241为moov Atom堆积损毁(heap corruption)远端程式码执行漏洞,攻击者对moov atom栏位中发出错误值,进而在分配的堆积缓冲区之外写入资料,借机在QuickTime播放器环境下执行任意程式码。 ZDI-16-242也是堆积损毁远端程式码执行漏洞,只是位于QuickTime Atom处理过程中。两项漏洞可能导致机密资料被窃或系统资源与公司资产受损。

值得注意的是,安全厂商在去年11月即已通知,然苹果迟迟未修补这两项漏洞,零时计画乃依据该部门针对此类情况的政策,径行发布漏洞公告。

苹果最近一次是在一月发布Windows 版QuickTime 7.7.8。趋势科技指出,由于苹果已不再发布Windows 版QuickTime 安全更新,因此这两个漏洞也将不会获得修补。

年初的更新已移除QuickTime浏览器外挂,使得恶意程式无法透过网页挂马攻击入侵,需要使用者点入恶意网站或开启恶意档案程式才能骇入QuickTime。

趋势科技表示,虽然目前没有发现相关的攻击,但由于永远丧失了苹果的支援,因此Windows用户自保之道是将之移除。美国电脑紧急应变小组(US-CERT)也对此发布安全警告。苹果也公布QuickTime 7 for Windows的移除指示。

苹果并未正式公布QuickTime停止支援Windows的消息,但Ars Technica表示这项计画已酝酿至少数个月之久。 QuickTime则从未支援过Windows 8 及10。

随着大厂的产品支援到期,许多软体成为孤儿而令用户身陷资安风险。除了Windows版QuickTime外,知名拥有广大用户但无法获得更新的软体还包括Windows XP及Oracle Java 6。
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过
1

鸡蛋

刚表态过的朋友 (1 人)

  • 鸡蛋

    匿名

相关阅读

最新评论


新出炉

返回顶部