就在趨勢科技 Zero Day Initiative 零時差漏洞懸賞機構發現了兩個新的 QuickTime for Windows 漏洞不久之後,Apple 即宣布即將終止對該軟體的支援。
這兩個漏洞可能讓駭客從遠端執行程式碼,進而掌控受害的電腦。若發生在企業環境內部,這等於是敞開大門讓駭客進入全公司網路。
根據趨勢科技全球威脅通訊經理 Christopher Budd 表示,目前尚未看到有任何攻擊已利用這些漏洞,但問題是,這兩個漏洞永遠也沒有機會修補。
Budd 表示:「繼 Microsoft Windows XP 和 Oracle Java 6 之後,QuickTime for Windows 軟體現在也加了支援終止的行列,因此未來不會再釋出更新來修補漏洞。所以,其資安風險將隨著被發現的漏洞數量而不斷升高。最終辦法還是只有依照 Apple 建議將 QuickTime for Windows 解除安裝一途。」
呼籲大家最好遵照 Apple 的建議盡快將 QuickTime for Windows 軟體解除安裝。
原因有二:
第一,Apple 已經決定廢除 QuickTime for Microsoft Windows 軟體。該公司將不再針對該軟體的 Windows 版本推出安全更新,因此建議使用者將它刪除。請注意,這項建議並不適用 Mac OSX 版本的 QuickTime。
第二,趨勢科技的 Zero Day Initiative 零時差漏洞懸賞機構已經發現了兩項有關 QuickTime for Windows 軟體的最新重大漏洞,也分別發出了兩項安全公告:ZDI-16-241及 ZDI-16-242 。Zero Day Initiative 的資訊揭露政策是,我們會在廠商沒有釋出安全更新來修補已揭發漏洞時發出安全公告。由於 Apple 已不再為 QuickTime for Windows 提供安全更新,因此這兩項漏洞將永遠不會修補。
雖然目前我們尚未發現任何利用這兩項漏洞的攻擊。但唯一能確保 Windows 系統不受此漏洞或 Apple QuickTime 其他漏洞威脅的方法只有將它解除安裝一途。繼 Microsoft Windows XP 和 Oracle Java 6 之後,QuickTime for Windows 軟體現在也加入了支援終止的行列,因此未來不會再釋出更新來修補漏洞。所以,其資安風險將隨著被發現的漏洞數量而不斷升高。
如需更多有關如何解除安裝 Apple QuickTime for Windows 軟體的資訊,請參閱 Apple 網站:https://support.apple.com/HT205771
趨勢科技的 TippingPoint 客戶因為有 21918(ZDI-CAN-3401) 和 21919(ZDI-CAN-3402) 兩項過濾規則的關係,從 2015 年 11 月 24 日起即可防範這兩項漏洞。
不過,使用者最終還是應該依照 Apple 的建議,將 QuickTime for Windows 解除安裝。由於 Apple 已不再為該軟體釋出安全更新,因此,這是唯一能確保自己不受該軟體現有及未來發現之漏洞影響的方法。
在技術細節方面,這兩個漏洞都是因 Heap 記憶體損毀而讓駭客能夠從遠端執行程式碼。其中一個漏洞讓駭客可將資料寫入系統配置的 Heap 緩衝區之外。另一項漏洞則出現在 stco atom 當中,駭客可利用一個無效的索引值來將資料寫入系統配置的 Heap 緩衝區之外。兩項漏洞在攻擊時都需要引誘使用者連上某個惡意的網頁或者開啟一個惡意的檔案。而且惡意程式碼在執行時都會繼承 QuickTime 播放器的安全權限,也就是當時登入系統的使用者。
兩項漏洞的 CVSS 2.0 危險等級都是 6.8。如需進一步詳細資訊,請參閱:
如需更多相關資訊,請參閱 US-CERT 所發出的安全公告: https://www.us-cert.gov/ncas/alerts/TA16-105A
原文出處:Urgent Call to Action: Uninstall QuickTime for Windows Today作者:Christopher Budd (全球威脅通訊)