360卫士:千千静听确实存在安全漏洞

互联网 | 编辑: 杨剑锋 2008-04-02 17:19:00原创

昨日,360安全中心称“千千静听存在严重安全漏洞,可被木马利用传播”。对此,千千静听今日发表声明,指责“360安全卫士没有经过调查研究,妄自揣测”,称千千静听并不存在所谓的“安全漏洞”,任何基于该问题对千千静听进行的所谓“报错警告”,都是不属实的,也是不负责任的。

笔者随即咨询了360安全中心相关人士,要求360安全中心就千千静听的辩解声明中指出的问题进行测试,确认一下是否存有安全漏洞的问题,该人士表示,360安全中心正在就该问题再次测试中。下午,经过测试验证后,360安全中心再次发来声明,表示“千千静听”软件确实存在重大安全漏洞,并要求千千静听对用户负责,尽快在新版本中解决此问题。

360安全中心声明原文:

昨日,360安全中心检测到知名播放器“千千静听”软件存在重大安全漏洞并通告广大网民后,千千静听官方网站随即发表声明对此极力否认,并对360安全卫士的善意提醒无端指责,对此,360安全中心表示,千千静听安全漏洞确实存在,请千千静听对用户负责,尽快在新版本中解决此问题,并提示用户升级。

360安全中心表示,当用户使用千千静听5.1.0版的网页播放功能,播放一首位于本地的带有恶意代码的歌曲时,这段恶意代码即会被执行,而使用其他播放器播放歌曲时,则无此现象。该漏洞极有可能被木马作者利用,将恶意程序伪装成音频文件,诱使用户播放运行,从而传播木马。而网上也已经有人公开叫卖“千千静听漏洞挂马”服务。

针对此问题,千千静听官方网站却辩称“用户用千千静听客户端或者网页控件版本打开一个位于远程服务器上的MOD文件是根本不会被播放的,所以根本不会出现所谓的执行位于服务器上的恶意代码的情况”,实际上,这完全是两个不同的概念, 千千静听官方针对漏洞的解释逻辑混乱,对用户极不负责,有误导网友之嫌疑,对此,360安全中心表示非常遗憾。

实际上,第三方软件漏洞已经成为了木马最常被利用的危险渠道,不论是远程还是本地,只要用户被诱使打开了含有恶意代码的文件、歌曲、图片,而使用的软件正好是含有漏洞问题的软件,则木马程序立刻被触发运行,此前爆发的excel软件漏洞和acdsee的漏洞均是同样的现象。木马程序一旦被触发,首先进入用户电脑的往往是一个木马下载器,这个木马下载器会源源不断的从后台下载多达几百个木马植入用户电脑,偷窃用户各类帐号信息,危害极大。

360安全中心进一步解释,实际上软件漏洞的存在很难完全避免,软件制作者应该正视软件漏洞的问题,本着对用户负责的态度,积极提供解决方案。微软每月都会对外发布补丁,并公开预警有可能导致木马传播的漏洞问题,软件制作者和安全厂商应该紧密合作,共同为用户提供安全解决方案。

截至到目前为止,千千静听官方仍未提供漏洞的修复方案,请用户尽快使用360安全卫士,监测是否安装了存在安全漏洞的千千静听版本,并使用360安全卫士提供的临时解决方案进行修复。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑