駭客鑽QuickTime漏洞入侵Mac

| | | | | | 留下回應

    

資安研究員24日表示，上周在「hack-a-Mac」比賽中被用來入侵MacBook的安全漏洞，是潛在於蘋果公司的QuickTime媒體播放程式。

找出軟體弱點的Dino Dai Zovi說，這個弱點與QuickTime處理Java程式的方式有關。他說，攻擊者可以透過Safari或Firefox瀏覽器來鑽上述安全漏洞。最初傳出的報導指出，在蘋果瀏覽器Safari找到這個安全弱點。

Dai Zovi說：「這是潛在QuickTime內部的弱點。Mac OS X環境下的Safari和Firefox都潛在安全漏洞。」

他表示，QuickTime程式已普遍用於Windows電腦，所以Windows用戶也可能暴露於風險之中。他說：「目前，Windows電腦上的Firefox也面臨同樣的危險。」

安全監測公司Secunia把這項安全弱點評為「極重大」(highly critical)，只比最嚴重的安全警戒低一級。Secunia說：「當使用者造訪某惡意網站時，此弱點可能被利用來執行任意的程式。」

蘋果最新版QuickTime安全更新在3月間公布。

Dai Zovi說，他的一位友人暨軟體工程師Shane Macaulay上周五就利用QuickTime的安全漏洞潛入一台MacBook。這台電腦是溫哥華CanSecWest會議「hack-a-Mac」比賽提供給優勝者的獎品。

在比賽第二天和最後一天，Dai Zovi成功入侵這台MacBook電腦，就是因為主辦單位用Safari瀏覽器瀏覽某惡意網站--這是Windows使用者比Mac使用者熟悉的一種攻擊類型。

蘋果拒絕針對MacBook遭到入侵發表評論，但發言人Lynn Fox上周作制式回應時說：「 蘋果對安全性極為認真，而且在潛在弱點影響使用者之前即解決問題的紀錄良好。」

在蘋果釋出安全修補程式之前，有關新安全漏洞的細節暫時保密。Dai Zovi已把這項安全弱點通報TippingPoint的「Zero Day Initiative」抓蟲懸賞計畫。防入侵系統銷售商TippingPoint提供一萬美元獎金，鼓勵民眾找出Mac的零時安全弱點，以提高CanSecWest比賽對駭客的吸引力。

Dai Zovi說：「TippingPoint已提議收購有關這項弱點的資訊，而我也同意了。他們即將付我一筆錢。」

他表示，關閉瀏覽器內的Java功能，可防止駭客鑽這個漏洞入侵電腦。Mac的預設環境潛在安全弱點，因為蘋果QuickTime隨作業系統附上。Windows使用者若是安裝QuickTime程式，才會暴露於同樣的風險中。(唐慧文/譯)