蘋果發表QuickTime 7.2 　修補重大漏洞

蘋果（Apple）在本周發表了QuickTime 7.2版，主要修補8個QuickTime重大漏洞，駭客可能藉此在使用者電腦上執行任意程式，或是竊取使用者電腦中的資料。

根據蘋果的說明，修補的8個漏洞中有4個是與處理特定檔案時會出現記憶體錯誤、整數溢位有關，這些漏洞將會終止使用者的應用程式或讓駭客執行任意程式。

包括有一個存在於QuickTime處理H.264電影的漏洞，當使用者存取惡意的H.264電影時，可能導致記憶體錯誤；另一個與QuickTime處理電影檔案有關的漏洞透過惡意的電影檔案也會造成程式關閉及執行任意程式。蘋果在此一更新版中針對電影檔案採用額外的確認機制來預防此情況；還有一個漏洞與QuickTime處理.m4v檔案有關，使用者只要檢視一個惡意的.m4v檔案，就能導致整數溢位；另一個整數溢位漏洞是存在於QuickTime對SMIL檔案的處理，同樣是透過惡意SMIL檔案觸發整數溢位。

另外4個漏洞則與QuickTime中的Java設計失誤有關。有3個Java漏洞會導致任意程式執行，另一個則可能讓使用者電腦中的資訊被竊。

其中有一個Java漏洞可讓駭客關閉安全檢查功能，以供駭客執行任意程式；另一個漏洞則是讓Java程式安全通過安全檢查以進一步在記憶體中讀寫；還有一個設計漏洞使得JDirect曝露特定的介面，讓駭客可裝載任意程式庫及釋放記憶體。使用者只要瀏覽含有特製Java程式的惡意網站，駭客就能利用上述漏洞執行任意程式。

最後一個Java設計漏洞可讓惡意網站捕捉到使用者螢幕上的內容，這將導致使用者資料被竊。（編譯/陳曉莉）