您现在的位置: 贯通日本 >> 资讯 >> 新闻对照0410 >> 正文

Windows版QuickTime发现危险漏洞!

作者:未知  来源:日经BP   更新:2004-10-26 7:48:00  点击:  切换到繁體中文

美国苹果电脑当地时间1027日宣布该公司的音乐和影像播放软件“QuickTime”Windows版中存在两种危险安全漏洞(英文)。虽然没有做进一步详细说明,但据说只要浏览Web网页就可能导致运行任意程序。对策是安装该公司当天公开的最新版QuickTime 6.5.2(英文)

  对于Mac OS X版,一种安全漏洞不受影响,另一种已经在9月公开了安全升级。不过,当天还公开了Mac OS X用的其他安全升级(英文),以修正在“Apple Remote Desktop”中发现的安全漏洞。建议Mac OS X用户尽快进行升级。

存在两种安全漏洞

  在6.5.1版之前(含6.5.1版)的WindowsQuickTime中发现了两种安全漏洞。一种是只要读取了做过手脚的BMP文件,就能运行任意程序的漏洞。Mac OS X版中也存在同样的漏洞,但只要进行了9月公开的安全升级就可以堵塞漏洞。

  对于仅Windwows版受影响的另一安全漏洞,苹果电脑没有提及会在什么场合下受害。在苹果电脑的信息中只写有HTML环境(HTML environment下发生。发现这一安全漏洞的英国NGSSoftware也没有公开具体情况,只在向安全相关邮件列表“Bugtraq”投稿(英文)中表示计划于2005128日公开具体情况,因为如果立即公开具体情况,可能会被恶意利用。从这一点可以看出,这一安全漏洞的影响非常恶劣。

  据专用搜集并公布软件开发商等公开的安全漏洞信息的丹麦Secunia*称,只要浏览做过手脚的HTML文档(Web网页),就会运行任意程序。

*
有时Secunia自己也独立发布漏洞信息。

  由于是非常危险的安全漏洞,因此WindowsQuickTime用户务必尽快安装1027日公开的QuickTime 6.5.2,可通过“QuickTime - Download”(英文)等下载。

  不过必须注意的是,截止到102916时,通过“QuickTime - Download”(英文)“Windows 98/Me/2000/XP”只能下载QuickTime 6.5.1。在进行安装时,安装向导(Wizard)中显示的是欢迎使用QuickTime 6.5.1”。据苹果电脑日本法人表示,通过“Windows 2000/XP QuickTime + iTunes Combo”下载的QuickTime是最新版的6.5.2。几天之内就可以从“Windows 98/Me/2000/XP”下载QuickTime 6.5.2版。

Apple Computerは米国時間10月27日,同社の音楽/動画再生ソフト「QuickTime」のWindows版に危険な2種類のセキュリティ・ホールがあることを公表したうち1種類については詳細が明らかにされていないが,Webページを閲覧するだけで任意のプログラムを実行させられるキュリティ・ホールのようだ。対策は,同日公開された最新版のQuickTime 6.5.2をインストールすること。

 Mac OS X版については,1つのセキュリティ・ホールについては影響を受けず,もう1つについては9月にセキュリティ・アップデートが公開済み。ただし,Mac OS X用の別のセキュリティアップデートも同日公開されている。「Apple Remote Desktop」に見つかったセキュリティ・ホールを修正するためのものだ。Mac OS Xユーザーは,このアップデートを適用しておきたい。

セキュリティ・ホールは2種類

 バージョン6.5.1以前(6.5.1を含む)のWindowsQuickTimeに見つかったセキュリティ・ホールは2つ。1つは,細工が施されたBMPファイルを読み込むと,任意のプログラムを実行させられるセキュリティ・ホール。Mac OS X版にも同様のセキュリティ・ホールが存在するが,9月に公開されたセキュリティ・アップデートを適用すれば解消できる。

 Windwows版だけが影響を受けるもう1つのセキュリティ・ホールについては,どういった場合に被害を受けるのかが明らかにされていない。Appleの情報では「HTML環境(HTML environment)」で発生すると書かれているだけだ。今回のセキュリティ・ホールを発見した英NGSSoftwareも,詳細については伏せている。セキュリティ関連メーリング「Bugtraq」への投稿によると,「2005128日に詳細を明らかにする予定」であるという。すぐに詳細を明らかにすると,悪用される恐れがあるためだ。このことからも,今回のセキュリティ・ホールの影響の大きさがうかがえる。

 ベンダーなどが公開したセキュリティ・ホール情報を公表している*デンマークSecuniaによれば,細工が施されたHTMLドキュメント(Webページ)を閲覧しただけで,任意のプログラムを実行させられるという。

*Secunia自身がセキュリティ・ホールを発見する場合もある

 とても危険なセキュリティ・ホールなので,WindowsQuickTimeユーザーは,1027日に公開されたQuickTime 6.5.2を早急にインストールしたほうがよい。QuickTime - ダウンロード」などからダウンロードできる。

 ただし現時点(102916時)では,QuickTime - ダウンロード」の「Windows 98/Me/2000/XP」からダウンロードできるのはQuickTime 6.5.1なので要注意。インストールしようとすると,ウイザードには「QuickTime 6.5.1にようこそ」と表示される。なお,日本法人のアップルコンピュータによると,「Windows 2000/XP QuickTime + iTunes Combo」からダウンロードできるQuickTimeは最新版の6.5.2。近日中には「Windows 98/Me/2000/XP」からもQuickTime 6.5.2をダウンロードできるようになるという。

 


 

新闻录入:贯通日本语    责任编辑:贯通日本语 

  • 上一篇新闻:

  • 下一篇新闻:
  •  
     
     
    网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
     

    注册高达赢取大奖!

    09年2月《贯通日本语》杂志

    熊本熊震后首次现身东京 卖萌感

    日清推出“世界杯面选举” 纪念

    不二家巧克力点心内疑混入橡胶

    奥巴马来广岛,安倍去珍珠港吗

    广告

    广告