QuickTime又现“危急”缺陷 黑客可控制用户系统

在苹果公司发布升级版软件修正QuickTime 播放软件中4 个安全缺陷不到3 周后，QuickTime 又被曝出存在“危急”缺陷。

据eEye数字安全公司本周一发布的一份儿公告称，这一没有修正的缺陷能够使黑客远程执行代码。eEye表示，该缺陷影响在所有操作系统上运行的QuickTime ，但没有披露哪种版本特别危险。

eEye表示，它在10月31日向苹果通报了这一缺陷，它当时阐述了在苹果于10月12日发布的升级版软件中没有修正的缺陷。eEye的高级产品营销主管迈克说，eEye在11月3 日向公众发布了公告。

迈克表示，我们认为这一缺陷不会滋生互联网蠕虫，因为它要求用户的参与━━例如点击指向恶意网站或聊天对话的链接。但是，受影响的组件是缺省地打开的。

这一新发现的缺陷能够使黑客伪装为注册用户，远程启动可执行的代码。黑客可以在用户的计算机上执行用户可以执行的所有操作，如果用户具有管理员权限，黑客也将获得管理员权限。

苹果此前发布的QuickTime 7.0.3 修正了在Mac OS X和Windows 上运行的QuickTime 6.5.2 和7.0.1 中发现的缺陷，其中的一个缺陷可以被黑客用来发动拒绝服务攻击，另外3 个缺陷则可以被黑客用来远程执行代码，控制用户的计算机。

苹果已经承认收到了eEye的缺陷公告，但没有表明它是否，或者会在何时修正该缺陷。eEye的产品经理史蒂夫说，毫无疑问，这是苹果必须修正的一个缺陷。