蘋果一月起終止Windows版QuickTime的安全更新後,出現2個安全漏洞,安全公司呼籲唯有移除才能免於攻擊。

安全業者TippingPoint旗下的零時攻擊研究計畫(Zero Day Initiative)於上周針對 ZDI-16-241以及 ZDI-16-242兩項漏洞發佈安全公告,揭露Windows版QuickTime中兩個新發現的重大漏洞。

其中ZDI-16-241為moov Atom堆積損毁(heap corruption)遠端程式碼執行漏洞,攻擊者對moov atom欄位中發出錯誤值,進而在分配的堆積緩衝區之外寫入資料,藉機在QuickTime播放器環境下執行任意程式碼。ZDI-16-242也是堆積損毁遠端程式碼執行漏洞,只是位於QuickTime Atom處理過程中。兩項漏洞可能導致機密資料被竊或系統資源與公司資產受損。

值得注意的是,安全廠商在去年11月即已通知,然蘋果遲遲未修補這兩項漏洞,零時計畫乃依據該部門針對此類情況的政策,逕行發佈漏洞公告。

蘋果最近一次是在一月發佈Windows 版QuickTime 7.7.8。趨勢科技指出,由於蘋果已不再發佈Windows 版QuickTime 安全更新,因此這兩個漏洞也將不會獲得修補。

年初的更新已移除QuickTime瀏覽器外掛,使得惡意程式無法透過網頁掛馬攻擊入侵,需要使用者點入惡意網站或開啟惡意檔案程式才能駭入QuickTime。

趨勢科技表示,雖然目前沒有發現相關的攻擊,但由於永遠喪失了蘋果的支援,因此Windows用戶自保之道是將之移除。美國電腦緊急應變小組(US-CERT)也對此發佈安全警告。蘋果也公佈QuickTime 7 for Windows的移除指示。

蘋果並未正式公佈QuickTime停止支援Windows的消息,但Ars Technica表示這項計畫已醞釀至少數個月之久。 QuickTime則從未支援過Windows 8 及10。

隨著大廠的產品支援到期,許多軟體成為孤兒而令用戶身陷資安風險。除了Windows版QuickTime外,知名擁有廣大用戶但無法獲得更新的軟體還包括Windows XP及Oracle Java 6。

 

熱門新聞

Advertisement