昨日,360安全中心检测到知名播放器“千千静听”软件存在重大安全漏洞并通告广大网民后,千千静听官方网站随即发表声明对此极力否认,并对360安全卫士的善意提醒无端指责,对此,360安全中心表示,千千静听安全漏洞确实存在,请千千静听对用户负责,尽快在新版本中解决此问题,并提示用户升级。
360 安全中心表示,当用户使用千千静听5.1.0版的网页播放功能,播放一首位于本地的带有恶意代码的歌曲时,这段恶意代码即会被执行,而使用其他播放器播放歌曲时,则无此现象。该漏洞极有可能被木马作者利用,将恶意程序伪装成音频文件,诱使用户播放运行,从而传播木马。而网上也已经有人公开叫卖“千千静听漏洞挂马”服务。
针对此问题,千千静听官方网站却辩称“用户用千千静听客户端或者网页控件版本打开一个位于远程服务器上的MOD文件是根本不会被播放的,所以根本不会出现所谓的执行位于服务器上的恶意代码的情况”,实际上,这完全是两个不同的概念,千千静听官方针对漏洞的解释逻辑混乱,对用户极不负责,有误导网友之嫌疑,对此,360安全中心表示非常遗憾。
实际上,第三方软件漏洞已经成为了木马最常被利用的危险渠道,不论是远程还是本地,只要用户被诱使打开了含有恶意代码的文件、歌曲、图片,而使用的软件正好是含有漏洞问题的软件,则木马程序立刻被触发运行,此前爆发的excel软件漏洞和acdsee的漏洞均是同样的现象。木马程序一旦被触发,首先进入用户电脑的往往是一个木马下载器,这个木马下载器会源源不断的从后台下载多达几百个木马植入用户电脑,偷窃用户各类帐号信息,危害极大。
360安全中心进一步解释,实际上软件漏洞的存在很难完全避免,软件制作者应该正视软件漏洞的问题,本着对用户负责的态度,积极提供解决方案。微软每月都会对外发布补丁,并公开预警有可能导致木马传播的漏洞问题,软件制作者和安全厂商应该紧密合作,共同为用户提供安全解决方案。
截至到目前为止,千千静听官方仍未提供漏洞的修复方案,请用户尽快使用360安全卫士,监测是否安装了存在安全漏洞的千千静听版本,并使用360安全卫士提供的临时解决方案进行修复。