CUN News 電腦新聞台 CUN電腦新聞台 CUN News By Computer User Network (http://hk852.to/cun/) From CNET資訊

1,906愛的鼓勵 2訂閱站台

專家警告，已發現蘋果電腦公司的媒體播放程式QuickTime有新的安全漏洞，可能導致麥金塔電腦(Mac)與Windows PC遭到網路攻擊。

隨著新的一年展開，「蘋果臭蟲月」(Month of the Apple Bugs)計畫起跑，元月份將每日宣布一項蘋果軟體瑕疵。1日公布弱點的同時，也釋出詳細的攻擊程式碼。

根據「蘋果臭蟲月」活動網站上張貼的公告，新發現的QuickTime安全漏洞與這款軟體處理即時串流協定(Real Time Streaming Protocol；RTSP)的方式有關。駭客若是特別編製一串RTSP程式碼植入被動手腳的QuickTime檔案，就可能造成緩衝區溢位 (buffer overflow)的問題。

「蘋果臭蟲月」兩位靈魂人物之一的LMH說：「風險在於你的電腦可能遭駭客自遠端操縱，運用你的使用者帳戶權限為所欲為。駭客可能用JavaScript、Flash、共用連結(common links)、QTL檔案等等可以啟動QuickTime的方法得逞。」

公告指出，這種弱點影響9月發布的QuickTime 7.1.3版軟體，支援蘋果OS X和微軟Windows作業系統的版本都受波及。先前的版本也可能有問題。

資安公司Secunia和法國安全事件應變小組(French Security Incidence Response Team；FrSIRT)分別把這項QuickTime安全漏洞的威脅性評為「極重大」(highly critical)和「重大」(critical)。

蘋果電腦發言人Anuj Nayar表示，該公司歡迎各界提供改善Mac安全性的指教，但對新瑕疵的細節問題未加評論，也未表明蘋果打不打算發布修補程式。

QuickTime使用者可採取自保措施，即關閉支援RTSP的功能。網路威脅追蹤機構SANS Internet Storm Center有提供相關的說明，指導使用者如何保護Windows PC和麥金塔電腦。

根據活動網站，「蘋果臭蟲月」的目的是抓出各種蘋果軟體及其他支援Mac OS X應用程式潛在的安全漏洞。LMH說：「這一個月內會陸續揭露更多重大的問題。」

LMH與獨立安全研究員Kevin Finisterre坦言，這項活動的「良性副作用」也許是提醒使用者提高警覺，並敦促蘋果實施最佳實務管理。

這兩人2日又公布第二個瑕疵，這回問題出在支援OS X與Windows的開放原始碼軟體VLC Media Player。駭客若刻意製作一串程式碼，就可能自遠端執行任意的程式。

去年11月時，LMH發起「核心臭蟲月」(Month of Kernel Bugs)，也專挑蘋果軟體的毛病。這項活動的靈感出自於7月間舉行的「瀏覽器臭蟲月」(Month of Browser Bugs)。