苹果不再为Windows版的QuickTime提供安全更新

根据苹果官方发表，他们将不再为Windows版本的QuickTime提供安全更新。这意味着他们在前不久放弃了Windows版本的QuickTime。那我们也赶紧把它卸载了吧~

出现漏洞

而且卸载这种易攻击的产品已经刻不容缓，专家们最近又在QuickTime上发现了两个远程代码执行漏洞。

在Steven Seeley于2015年的11月11日向苹果公司报告这两个关键漏洞的信息后ZDI宣布苹果公司将不再支持Windows版本的QuickTime。

“首先，苹果弃用了Microsoft Windows的QuickTime。他们将不再在Windows平台上为QuickTime进行安全更新，而且他们还强烈推荐用户赶紧卸载。当然了，这只是针对Windows而不是Mac OSX的QuickTime。

第二，我们的Zero Day项目刚刚发布了两个新的公告ZDI-16-241和ZDI-16-242，其中详细介绍了两个影响着Windows版本QuickTime的关键漏洞。“

这两个都是可以被黑客远程执行代码的堆损坏漏洞。而且进行的攻击方式也极其简单，只要受害者访问了一个恶意制作的网站或文件就可以进行攻击。

“一个漏洞可以让攻击者直接在分配的堆缓冲区外写入数据。另外一个漏洞则是发生在stco atom里，可以通过提供一个无效的索引让攻击者在分配的堆缓冲区外写入数据。而且只要用户访问了恶意网页或点击恶意文件攻击者就能利用这两个漏洞。然后在用户登录的时候在QuickTime播放器中执行代码。”

就这点你必须立即卸载QuickTime！

卸载QuickTime7的同时也会删除QuickTime 7的网络插件。所幸的是，现在越来越多的网站使用HTML5以获取更好的视频播放体验，所以也就没有了这个插件的安全影响。

对于OS X的用户有什么影响？

为了保护用户免受黑客的网络攻击，苹果公司表示OS X 系统也已经禁用了QuickTime的插件。

而且美国CERT也发布了安全漏洞分析与漏洞有关的风险咨询。

“虽然Windows版本的QuickTime没有下线。但是使用不受支持的软件会大大增加其他安全威胁的攻击。而且其中还存在着潜在的危险——保密性、完整性、数据可用性的降低以及系统资源或商业资产的损坏。唯一方法就是卸载Windows版本的QuickTime。“

不过，专家们现在还没有发现任何利用这两个漏洞的有效攻击。真是可喜可贺。

*参考来源：securityaffairs，FB小编江湖小吓编译