设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

苹果不再为Windows版的QuickTime提供安全更新

2016-4-18 10:08| 发布者: 随便、先森。| 查看: 863| 评论: 0|来自: FreeBuf

摘要: 根据苹果官方发表,他们将不再为Windows版本的QuickTime提供安全更新。这意味着他们在前不久放弃了Windows版本的QuickTime。那我们也赶紧把它卸载了吧~出现漏洞而且卸载这种易攻击的产品已经刻不容缓,专家们最近又 ...

根据苹果官方发表,他们将不再为Windows版本的QuickTime提供安全更新。这意味着他们在前不久放弃了Windows版本的QuickTime。那我们也赶紧把它卸载了吧~

出现漏洞

而且卸载这种易攻击的产品已经刻不容缓,专家们最近又在QuickTime上发现了两个远程代码执行漏洞。

在Steven Seeley于2015年的11月11日向苹果公司报告这两个关键漏洞的信息后ZDI宣布苹果公司将不再支持Windows版本的QuickTime。

“首先,苹果弃用了Microsoft Windows的QuickTime。他们将不再在Windows平台上为QuickTime进行安全更新,而且他们还强烈推荐用户赶紧卸载。当然了,这只是针对Windows而不是Mac OSX的QuickTime。

第二,我们的Zero Day项目刚刚发布了两个新的公告ZDI-16-241和ZDI-16-242,其中详细介绍了两个影响着Windows版本QuickTime的关键漏洞。“

这两个都是可以被黑客远程执行代码的堆损坏漏洞。而且进行的攻击方式也极其简单,只要受害者访问了一个恶意制作的网站或文件就可以进行攻击。

“一个漏洞可以让攻击者直接在分配的堆缓冲区外写入数据。另外一个漏洞则是发生在stco atom里,可以通过提供一个无效的索引让攻击者在分配的堆缓冲区外写入数据。而且只要用户访问了恶意网页或点击恶意文件攻击者就能利用这两个漏洞。然后在用户登录的时候在QuickTime播放器中执行代码。”

就这点你必须立即卸载QuickTime!

卸载QuickTime7的同时也会删除QuickTime 7的网络插件。所幸的是,现在越来越多的网站使用HTML5以获取更好的视频播放体验,所以也就没有了这个插件的安全影响。

对于OS X的用户有什么影响?

为了保护用户免受黑客的网络攻击,苹果公司表示OS X 系统也已经禁用了QuickTime的插件。

而且美国CERT也发布了安全漏洞分析与漏洞有关的风险咨询。

“虽然Windows版本的QuickTime没有下线。但是使用不受支持的软件会大大增加其他安全威胁的攻击。而且其中还存在着潜在的危险——保密性、完整性、数据可用性的降低以及系统资源或商业资产的损坏。唯一方法就是卸载Windows版本的QuickTime。“

不过,专家们现在还没有发现任何利用这两个漏洞的有效攻击。真是可喜可贺。

*参考来源:securityaffairs,FB小编江湖小吓编译


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部