苹果新发安全补丁 修正QuickTime零时差漏洞

CNET科技资讯网5月2日国际报道 苹果1日迅速修补了上周在一项黑客比赛中被用来入侵MacBook Pro系统的QuickTime安全漏洞。

根据苹果的安全警报，该弱点位于QuickTime for Java，通过一个恶意网站，即可被攻击者用来控制执行Mac OS X和微软Windows系统的计算机。

苹果指出：引诱使用者阅览一个包含恶意Java applet的网页，攻击者便可引发问题，进而在远程强制执行程序。只有使用未修补QuickTime版本的计算机才有受害风险。

安全厂商Secunia将此漏洞列为次高的“高度危急”等级。QuickTime 7.1.6更新加入了额外的检查程序，解决这项问题。苹果也感谢抓错专家Dino Dai Zovi和TippingPoint Zero Day Initiative通报
该问题。

就在一周前，QuickTime的弱点才被发现者用来申请1万美元奖金，并用在温哥华CanSecWest会议举办的hack-a-Mac竞赛中，赢得一台MacBook笔记型计算机。

安全研究人员Shane Macaulay先与Dai Zovi合作入侵Mac系统，抱得比赛奖品。Dai Zovi随后用这项新发现的弱点向TippingPoint的Zero Day Initiative计划申请1万美元奖金。

苹果在1日也发布上月份安全更新的最新版。2007-004 Version 1.1解决了原版更新的几项问题，包括可能造成无线网络断线，和允许受限的FTP使用者在苹果FTPServer上，执行超过权限的访问。

使用者可通过苹果操作系统的和QuickTime的Software Update应用软件，或到苹果网站下载最近的安全更新。