Windows版iTunes存缺陷 安全运行任意代码
来源:岁月联盟
时间:2010-02-13
在这一缺陷被发现数天前,苹果发布了Windows版iTunes 6的安全升级包。据eEye数字安全公司称,这一缺陷存在于早期版本的Windows版iTunes 6中,最新的安全升级包没有解决这一缺陷。
最初,eEye曾错误地在其网站上发布布告称这一缺陷影响面向所有操作系统的iTunes,后来,eEye在更正的布告中表示,迄今为止,只在Windows版本中发现了这一缺陷。但是,eEye正在进行测试,研究该缺陷是否影响在Mac操作系统上运行的iTunes版本。
eEye的产品经理史蒂夫表示,Windows版iTunes 6和iTunes 5都受到了该缺陷的影响。他说,一旦用户点击一个恶意的网站链接或打开一封恶意电子邮件,该缺陷就能够使安全在用户的系统上远程启动任意的代码。史蒂夫指出,iTunes非常普及,因此潜在的受害用户群非常庞大。
苹果上周早些时候发布了Windows版iTunes 6的安全升级包,旨在阻止错误的helper应用软件启动、运行。helper软件能够对多个系统路径进行搜索,发现哪些软件在运行。但该缺陷能够使安全创造一种使iTunes启动其它软件的方式。
苹果公司的代表没有对此发表评论。据苹果公司网站上发布的消息称,它的一贯政策是,在进行调查和发布必要的补丁软件前,它不会讨论或证实安全问题。
eEye表示,在厂商发布修正缺陷的补丁软件前,它不会披露有关缺陷的更详细资料。
