上周末，波蘭安全研究人員克爾斯坦?克洛斯科沃斯基(Krystian Kloskowski)發(fā)現(xiàn)了蘋果QuickTime媒體播放器的安全漏洞。據(jù)悉，黑客可以利用這個安全漏洞獲得受害計算機的遠程控制權(quán)。

　　美國計算機網(wǎng)絡(luò)緊急響應(yīng)組（U.S. Computer Emergency Response Team）在周六的安全咨詢會上指出，這一缺陷存在于蘋果QuickTime Streaming Server和QuickTime播放軟件支持的Real Time Streaming Protocol（RTSP）中。用戶通過QuickTime Media Link文件或訪問一個惡意Web網(wǎng)頁，該網(wǎng)頁提供了類似于視頻媒體文件的內(nèi)容，但實際上這是一個XML文件。用戶若是運行它就是自動使其QuickTime播放器通過544端口于惡意服務(wù)器連接，從而被黑客控制。黑客可以在用戶的系統(tǒng)上執(zhí)行任意代碼或發(fā)動拒絕服務(wù)攻擊。由于iTunes包含有QuickTime的一個組件，安裝iTunes也存在受到攻擊的危險。

　　賽門鐵克公司安全研究員伊莉娜?弗洛里奧(Elia Florio)在其報告中證明了該漏洞的存在并表示至今還沒有這個安全漏洞的升級補丁。因此他強烈建議網(wǎng)絡(luò)管理員要嚴格限制對外連接的TCP554端口使用防火墻，力勸用戶不要去打開那些來路不明的網(wǎng)頁鏈接。U.S. CERT卻警告說：“RTSP可以使用大量的端口，因此僅僅限制某一種端口是完全不夠的�！�

　　據(jù)一位賽門鐵克公司發(fā)言人透露，在Windows Vista和Windows XP Pro SP2上運行的QuickTime 7.2和7.3都會受到該缺陷的影響，那些Mac OS X的用戶也不能幸免。

　　弗洛里奧還表示,如果使用微軟IE6或IE7時以及Safari 3 Beta版等瀏覽器時,這些攻擊是可以被防止的。但是他強調(diào)如果QuickTime是Firefox瀏覽器的默認媒體播放器，那么黑客就會很快得逞。

　　他同時還補充道：“這些被黑客用來襲擊的視頻文件還包括mpeg, avi以及其他能與QuickTime播放器產(chǎn)生關(guān)聯(lián)的MIME類型文件。