|
苹果计算机上星期五(4月30日)发布了一个安全公告并且修复了QuickTime软件中的一个漏洞。苹果解释说,这个漏洞只是一个小问题。但是,发现这个安全漏洞的公司却把它列为严重的安全漏洞。
苹果表示,适用于MacOSX操作系统的QuickTime电影播放软件中的这个安全漏洞可以引起这个播放软件崩溃。苹果在星期五下午晚些时候发布的安全公告中称,播放变形的.mov(电影文件)可能会引起QuickTime软件终止运行。
eEye数字安全公司在2月份就发现了这个安全漏洞。该公司称,苹果在安全公报中低估了这个安全漏洞的严重性。eEye坚持认为,可以制作一种电影文件,当用户打开这个文件时,便在用户的计算机执行恶意代码。
eEye数字安全公司的首席黑客官(Chief HackingOfficer)MarcMaiffret说,我们对苹果公司说,如果你们不能执行代码,就告诉我们。我们可以把这个问题演示给你们看。
由于电影文件一般都携带代码,这个安全漏洞可以用来伪装病毒或者特洛伊木马程序并且引诱不知情的Mac计算机用户运行这种程序。
苹果星期五上午发布了一个QuickTime的更新程序。但是,在eEye发现在更新软件中没有修复这个安全漏洞之前,苹果没有发布安全公告。当eEye与苹果联系之后,苹果才同意再发布一个安全公告。
Maiffret说,你不能在不发布安全公告的情况下提供一个补丁,因为坏人会查看这种代码找出安全漏洞。你需要告诉用户,否则你就不是为用户服务。
与以前发现的欺骗性技术不同,QuickTime的问题的确是在软件程序中存在安全漏洞。苹果本月初还发布了其它几个安全漏洞的补丁。
修复这个安全漏洞的补丁可以通过Mac OS X操作系统的自动升级服务从苹果的网站下载。
| 
