据发布在Milw0rm.com上的帖子称,在Windows Vista和Windows XP Pro SP2上运行的QuickTime 7.2和7.3都会受到该缺陷的影响。US-Cert在发表的安全咨询报告中表示,由于iTunes包含有QuickTime的一个组件,安装iTunes也存在受到攻击的危险。
US-Cert指出,这一缺陷存在于苹果QuickTime Streaming Server和QuickTime播放软件支持的Real Time Streaming Protocol(RTSP)中。用户通过QuickTime Media Link文件或访问一个恶意Web网页而加载一个恶意RTSP流,就会被感染。黑客可以在用户的系统上执行任意代码或发动拒绝服务攻击。
本月早些时候,苹果发布了QuickTime 7.3,修正了QuickTime 7.2中存在的7个安全缺陷,但是,它没有修正RTSP缺陷。
US-Cert向用户提出了几种减小RTSP缺陷危险的建议,其中包括关闭IE中的QuickTime ActiveX控件、Mozilla浏览器的QuickTime插件、JavaScript、对QuickTime格式的文件关联,其它的建议还包括避免来自不信任来源的QuickTime文件。
安全厂商Secunia对这一缺陷危险程度的评级是“极度危急”。
网友评论