尽管iPhone第三代被炒得人尽皆知,但隐藏在消息背后的却是这样一个事实,即苹果公司的QuickTime,这个使多媒体播放和iTunes软件变得关键的软件,仍然处在困境之中。
QuickTime 7.5的更新修复了五个安全问题,这些问题都可能使用户面临被攻击的风险。另外,苹果公司还在对QuickTime继续进行修补。一个负责寻找QuickTime漏洞的安全公司认为,苹果的这些更新十分及时。
影响QuickTime在Mac与Windows系统上运行的4个问题中,有一个问题是专门针对Windows的。这个安全漏洞可以让攻击者执行任意代码或触发应用程序的崩溃,被命名为CVE-2008-1581。对于这个问题,QuickTime 7.5修补程序解决了一个有关媒体软件如何处理PICT图像的缺陷。
另一个涉及PICT处理的个别问题同样影响了QuickTime在Windows和Mac上的运行,苹果将其称为CVE-2008-1583。
还有一个漏洞涉及到QuickTime如何处理AAC格式,这是iTunes上内容的默认格式。这个漏洞可能会导致系统崩溃或任意代码的执行。
3Com公司的Tipping Point部门负责将QuickTime 7.5中得到修复的最后两个漏洞记入报告。漏洞CVE-2008-1584的补丁程序修复了QuickTime在处理Indeo格式的视频媒体内容时的遇到的问题。
Tipping Point还认为,的在此之外的一个安全漏洞是CVE-2008-1585,这是一个网址处理的问题。
“在QuickTime处理文件的过程中存在一个网址处理问题 ”,苹果公司的咨询顾问说道,“当用户使用到QuickTime播放器中被恶意修改的内容时,一些任意应用程序和文件将可能得到执行。此更新程序在处理这个问题时,将把这些恶意文件显示在Finder或Windows Explorer上,而不是执行它们。”
QuickTime 7.5的更新紧跟着4月份开始的QuickTime 7.4.5的更新,修补了11个漏洞。
苹果公司一直受到包括Tipping Point部门在内的安全研究人员的监察。不过,TippingPoint的DVLabs小组的安全研究员Cody Pierce指出,大体上,对于该小组提出的问题,苹果公司的反应一直以来还是相当灵敏的。
“列出的第一个漏洞CVE-2008-1584是于2008年2月7日上报的,虽然比预期的时间稍长,但大体上还是可以接受的,”Pierce表示。
“至于CVE-2008-1585,苹果公司非常及时地纠正了其中一个问题,只用了一个月多一点的时间”,Pierce补充道。“很高兴看到供应商们迅速采取了行动来努力保护他们的客户-我希望这种趋势能继续下去。”