9月17日下午消息,赛门铁克揭示了其安全响应中心最近发现,在中文媒体播放器“暴风影音”中存在多个缓冲充溢漏洞,其中一些正在被主动攻击。漏洞与“暴风影音”所使用的ActiveX控制插件有关,用户只需浏览 一个隐藏攻击代码的网站就有可能受到攻击。
据称,成功的攻击会允许任意代码对使用ActiveX控制插件(在此情况下即IE浏览器)的程序远程执行,让攻击者全面控制受到攻击的电脑。不成功的攻击可能会造成拒绝执行的情况,造成浏览器死机。
赛门铁克发现,漏洞已经确认在“暴风影音”2.8和2.9测试版中发现,其它版本有可能也会受到影响。赛门铁克SecurityFocus发布了代号为BID25601的信息,该信息包括在厂家提供补丁之前的临时补救做法。因此,赛门铁克增加了针对漏洞的启发性检测Bloodhound.Exploit.160。
对于上述言论,记者连线了暴风影音的相关负责人,该人士表示,“赛门铁克这一做法非常恶劣,暴风影音保留进一步行动的权利!”而对于赛门铁克提到的缓冲充溢漏洞,该人士表示,那些是早已解决的问题。作为国内最大的播放软件,暴风影音播放器目前的运行一切正常,从用户数量上就得以体现。(文/enet)
|