您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

蘋果終止更新QuickTime for Windows

安全業者Tipping Point旗下的零時差攻擊研究計畫(Zero Day Initiative)於4/14針對ZDI-16-241以及ZDI-16-242兩項漏洞發佈安全公告,揭露QuickTime for Windows中兩個新發現的重大漏洞。其中ZDI-16-241為moov atom欄位堆積損毁(heap corruption)遠端程式碼執行漏洞,攻擊者對moov atom欄位中輸入錯誤值,進而在分配的堆積緩衝區之外寫入資料,藉機在QuickTime播放器環境下執行任意程式碼。ZDI-16-242也是堆積損毁遠端程式碼執行漏洞,只是位於QuickTime atom處理過程中。兩項漏洞均可能導致機密資料被竊或系統資源受損。值得注意的是,Tipping Point在2015/11即已通知蘋果(Apple Inc.) QuickTime存在此兩項漏洞,但蘋果卻遲遲未修補,所以依據Zero Day Initiative針對此類情況的政策作法,逕行發佈漏洞公告。

蘋果最後一次發布QuickTime for Windows的更新版本是在2016/1,版本為7.7.8。由於蘋果已不再發布QuickTime for Windows的安全性更新,因此這兩個漏洞也將永遠不會獲得修補。不過年初的更新已移除QuickTime瀏覽器外掛,使得惡意程式無法透過網頁掛碼攻擊入侵,需要使用者點入惡意網站或開啟惡意檔案程式才能駭入QuickTime。雖然目前沒有發現相關的攻擊,但由於永遠喪失了蘋果的支援,因此Windows用戶自保之道是將之移除。美國電腦緊急應變小組(US-CERT)對此發布安全警告。蘋果隨後也公布QuickTime 7 for Windows的移除指示。目前蘋果並未正式公布QuickTime停止支援Windows的消息,但從QuickTime從未支援過Windows 8 及10的情況看來,蘋果對於停止支援QuickTime for Windows早已醞釀多時。隨著大廠的產品支援到期,許多軟體成為孤兒而讓用戶身陷資安風險。除了QuickTime for Windows外,擁有廣大用戶但無法獲得更新的知名軟體還包括Windows XP作業系統及Oracle Java 6。

Reference

資料來源:

http://blog.trendmicro.com/urgent-call-action-uninstall-quicktime-windows-today/

http://zerodayinitiative.com/advisories/ZDI-16-241/

http://zerodayinitiative.com/advisories/ZDI-16-242/

https://www.us-cert.gov/ncas/alerts/TA16-105A

https://support.apple.com/en-us/HT205771

http://www.ithome.com.tw/news/105355

行政院國家資通安全會報技術服務中心整理

Publish Date
2016/5/4 0:00:00