駭客以QuickTime漏洞展開「蘋果臭蟲月」

jodenh

駭客以QuickTime漏洞展開「蘋果臭蟲月」  

文/陳曉莉 (編譯) 2007-01-03


QuickTime的漏洞存在於該軟體處理即時串流協定（Real Time Streaming Protocol，RTSP），駭客若在QuickTime檔案中製造一個特別的RTSP串列，就能導致緩衝區溢位。



由駭客發起的臭蟲月計畫在今年1月輪到了「蘋果臭蟲月」（Month of the Apple Bugs），在1月的每一天都要公布一個新的蘋果應用程式臭蟲，在元旦（1/1）首先揭露的就是媒體播放軟體QuickTime的漏洞，該漏洞將同時影響蘋果及視窗作業系統。

QuickTime為蘋果電腦開發的媒體播放軟體，可用來處理影像、聲音、動畫、圖片、音樂及文字等資訊，同時支援蘋果及視窗作業系統。

根據蘋果臭蟲月網站上的公告，QuickTime的漏洞存在於該軟體處理即時串流協定（Real Time Streaming Protocol，RTSP），駭客若在QuickTime檔案中製造一個特別的RTSP串列，就能導致緩衝區溢位。

此一漏洞影響最新的QuickTime 7.1.3版本，之前的版本也可能受到波及。

蘋果臭蟲月參與者之一的LMH表示，該漏洞可讓駭客取得使用者權限並自遠端進行攻擊，駭客可以藉由JavaScript、Flash、QTL及其他方式啟動QuickTime。

蘋果電腦回應指出，該公司一向歡迎使用者對於如何改善Mac安全性的回饋意見。不過蘋果電腦並未說明該漏洞或何時提供修補程式。

LMH提供防堵該漏洞的暫時性補救措施，包括關閉RTSP的支援功能或是直接移除QuickTime。

駭客的臭蟲月計畫開始於去年7月執行的瀏覽器臭蟲月，並在去年11月祭出核心臭蟲月。（編譯/陳曉莉）  


資料來源:http://www.ithome.com.tw/itadm/article.php?c=41335