蘋果終止更新Windows版QuickTime，安全公司呼籲有漏洞快移除

蘋果一月起終止Windows版QuickTime的安全更新後，出現2個安全漏洞，安全公司呼籲唯有移除才能免於攻擊。

安全業者TippingPoint旗下的零時攻擊研究計畫（Zero Day Initiative）於上周針對 ZDI-16-241以及 ZDI-16-242兩項漏洞發佈安全公告，揭露Windows版QuickTime中兩個新發現的重大漏洞。

其中ZDI-16-241為moov Atom堆積損毁（heap corruption）遠端程式碼執行漏洞，攻擊者對moov atom欄位中發出錯誤值，進而在分配的堆積緩衝區之外寫入資料，藉機在QuickTime播放器環境下執行任意程式碼。ZDI-16-242也是堆積損毁遠端程式碼執行漏洞，只是位於QuickTime Atom處理過程中。兩項漏洞可能導致機密資料被竊或系統資源與公司資產受損。

值得注意的是，安全廠商在去年11月即已通知，然蘋果遲遲未修補這兩項漏洞，零時計畫乃依據該部門針對此類情況的政策，逕行發佈漏洞公告。

蘋果最近一次是在一月發佈Windows 版QuickTime 7.7.8。趨勢科技指出，由於蘋果已不再發佈Windows 版QuickTime 安全更新，因此這兩個漏洞也將不會獲得修補。

年初的更新已移除QuickTime瀏覽器外掛，使得惡意程式無法透過網頁掛馬攻擊入侵，需要使用者點入惡意網站或開啟惡意檔案程式才能駭入QuickTime。

趨勢科技表示，雖然目前沒有發現相關的攻擊，但由於永遠喪失了蘋果的支援，因此Windows用戶自保之道是將之移除。美國電腦緊急應變小組（US-CERT）也對此發佈安全警告。蘋果也公佈QuickTime 7 for Windows的移除指示。

蘋果並未正式公佈QuickTime停止支援Windows的消息，但Ars Technica表示這項計畫已醞釀至少數個月之久。 QuickTime則從未支援過Windows 8 及10。

隨著大廠的產品支援到期，許多軟體成為孤兒而令用戶身陷資安風險。除了Windows版QuickTime外，知名擁有廣大用戶但無法獲得更新的軟體還包括Windows XP及Oracle Java 6。