QuickTime 0day ***代碼發佈，可能容許執行任意代碼

QuickTime 0day ***代碼發佈，可能容許執行任意代碼

 

僅僅在 Apple 升級播放器堵上九個嚴重安全漏洞以後的一個星期，一個暫無補丁的 Apple QuickTime 缺陷就於星期二被髮布在 milw0rm.com 網站上。 該溢出程序利用了 QuickTime 處理 「<? quicktime type= ?>」 參數時未能正確處理超長字符串的漏洞。 該程序目前只是使得 QuickTime 崩潰，但問題遠比這嚴重。該程序暗示了漏洞有可能致使任意代碼的執行，這可能致使嚴重的安全隱患，由於***者可在網站上嵌入一個惡意文件來觸發該漏洞。 但就連這個發佈者本身也不大確定。milw0rm.com 上寫着「可能」容許執行任意代碼。 賽門鐵克目前正在研究這個漏洞，以便得到更多的技術細節。 臨時解決方案：用戶應當考慮暫時禁用 QuickTime 插件。該插件被安裝在不少運行 Windows 系統的計算機裏，而且在全部的 Mac 系統上都被默認安裝。 cnBeta 編譯