使用Windows的朋友们注意,由于苹果的QuickTime已决定不再为Windows版本做任何更新,所以QuickTime的两大漏洞(高危险)也无法获得修补,因此苹果呼吁最好的办法就是解除安装QuickTime,否则恐怕会危害到电脑资讯安全,造成伤害,对此美国国防局发出了紧急呼吁。
而这两大漏洞是因 Heap记忆体损毁,使得骇客能从远端执行程式码,在攻击时会以引诱使用者连上某个恶意网页或开启一个恶意档案,其中一个漏洞可让骇客将资料写入系统配置的Heap缓衝区,另一项漏洞则出现在 stco atom 当中,可让骇客利用一个无效的索引值将资料写入系统配置的Heap缓衝区,而且恶意程式码在执行时都会继承QuickTime播放器的安全权限,也就是当时登入系统的使用者。
据趋势科技全球威胁通讯经理Christopher Budd表示:「继Microsoft Windows XP和Oracle Java 6之后,QuickTime for Windows软件现在也加了支援终止的行列,因此未来不会再释出更新来修补漏洞。所以,其资安风险将随著被发现的漏洞数量而不断升高。最终办法还是只有依照Apple建议将QuickTime for Windows解除安装一途。」
呼吁大家最好遵照 Apple 的建议尽快解除安装 QuickTime 软件(此建议不适用Mac OSX 版本的 QuickTime)。