蘋果才在近日修補十多個作業系統漏洞,就有一安全研究人員發表一可讓駭客掌控使用者系統的攻擊程式。
此一研究人員所利用的漏洞是潛藏在蘋果作業系統中的UPnP IGD(Internet Gateway Device Standardized Device Control Protocol,網路閘道裝置標準化裝置控制協定)中,駭客只要傳送一個惡意封包就能引發緩衝區溢位,以使程式中斷執行或是遠端執行任意程式碼。該漏洞影響Mac OS X v10.4.9及Mac OS X Server v10.4.9。
蘋果尚未對此一攻擊程式發表任何聲明,不過,蘋果今年以來修補動作不斷。蘋果才剛修補完作業系統,周二(5/29)再次釋出了旗下媒體播放程式QuickTime 7.1.6版的安全更新,修補QuickTime中兩個與Java有關的漏洞。
根據蘋果的說明,QuickTime 7.1.6中有一個功能可允許處理外部的物件,駭客只要製造一個惡意的Java程式,並引誘使用者連結到含有該程式的惡意網站,就能透過遠端執行任意程式,因此蘋果在此部份提供執行Java程式的額外確認功能以修補該漏洞;另一個漏洞則可能導致使用者資料外洩,該含有漏洞的功能原本是提供Java程式可以讀取瀏覽器的記憶儲存資料,但駭客也可在網站上存放一個惡意Java程式來竊取使用者資料。
受到上述漏洞影響的主要是QuickTime 7.1.6版,涵蓋Mac OS X及視窗作業系統。使用者可以透過軟體更新或自行下載修補這些漏洞。
這是蘋果今年以來第六度的安全更新行動,蘋果今年迄今已經更新了上百個程式漏洞。(編譯/陳曉莉)
熱門新聞
2026-01-26
2026-01-26
2026-01-26
2026-01-26
2026-01-24
2026-01-26
Advertisement