蘋果修補駭客競賽被攻破的QuickTime漏洞

蘋果在周二（5/1）發表QuickTime更新程式，修補日前CanSecWest安全會議中被研究人員攻破的MacBook Pro中的QuickTime漏洞。

蘋果在安全警告中說明，該漏洞是存在於QuickTime for Java中，可讓讀寫超出堆積分配的界線，因此，只要讓使用者去造訪一個含有惡意Java程式的網站，駭客就能利用該漏洞在使用者系統上執行任意程式。

該漏洞可能影響所有安裝蘋果QuickTime播放工具以及擁有支援Java瀏覽器的蘋果或視窗作業系統，市場上支援Java的瀏覽器包括Safari、Firefox與IE。

蘋果也指出該漏洞是由Dino Dai Zovi所揭露，而Dino Dai Zovi便是透過該漏洞贏得CanSecWest安全會議蘋果作業系統攻擊大賽的得主之一。

雖然蘋果本身並未對該漏洞被揭露的方式或是該競賽有任何公開的指責，但分析機構Gartner的兩名分析師卻挺身而出抨擊該類型的競賽。

Gartner表示，雖然現在沒有任何確認該漏洞遭受攻擊的報告，但該漏洞的部份細節已公諸於世，因此企業必須要防範潛在的威脅。包括Secunia等部份資安業者都將此一QuickTime漏洞列為最高風險的重大漏洞。

分析師Rich Mogull及Greg Young指出，公開漏洞研究與駭客競賽屬於冒險工作，可能剛好與負責任的漏洞揭露作法背道而馳，因為供應商應該在任何漏洞公開發表前被知會或有修補的機會，漏洞研究是一項非常有價值的努力可以用來確保資訊安全。然而，公開漏洞研究是有風險的，因為這些漏洞可能被隨意誤用或處理，也會不小心幫助了駭客。（編譯/陳曉莉）