QuickTime 0day ***代码发布，可能容许执行任意代码

QuickTime 0day ***代码发布，可能容许执行任意代码

 

仅仅在 Apple 升级播放器堵上九个严重安全漏洞以后的一个星期，一个暂无补丁的 Apple QuickTime 缺陷就于星期二被发布在 milw0rm.com 网站上。 该溢出程序利用了 QuickTime 处理 “<? quicktime type= ?>” 参数时未能正确处理超长字符串的漏洞。 该程序目前只是使得 QuickTime 崩溃，但问题远比这严重。该程序暗示了漏洞有可能致使任意代码的执行，这可能致使严重的安全隐患，由于***者可在网站上嵌入一个恶意文件来触发该漏洞。 但就连这个发布者本身也不大确定。milw0rm.com 上写着“可能”容许执行任意代码。 赛门铁克目前正在研究这个漏洞，以便得到更多的技术细节。 临时解决方案：用户应当考虑暂时禁用 QuickTime 插件。该插件被安装在不少运行 Windows 系统的计算机里，而且在全部的 Mac 系统上都被默认安装。 cnBeta 编译