资安厂商趋势科技表示,他们的 Zero Day Initiative 零时差漏洞悬赏机构日前发现了两个有关 QuickTime for Windows 的重大漏洞,并分别发出了两项资安公告:ZDI-16-241及 ZDI-16-242。而在趋势发出两项资安公告之后不久,Apple 随即宣布即将终止对该软件的支援。
趋势科技指出,包括 ZDI-16-241 及 ZDI-16-242 这两个漏洞可能使得骇客从远端执行程式码,进而掌控受害的电脑。若企业内的电脑借此方式而遭受入侵,这等于是敞开大门让骇客进入全公司网络。
趋势科技资深技术顾问简胜财表示,目前尚未看到有任何利用此漏洞的攻击行为。不过,更严重的问题是继 Microsoft Windows XP 和 Oracle Java 6 之后,QuickTime for Windows 软件现在也加入了支援终止的行列。
因此,在未来不会再释出更新来修补漏洞的情况下,在这两个漏洞永远没有机会修补。这也使得资安风险将随着被发现的漏洞数量而不断升高,所以最终办法还是只有依照 Apple 建议,将 QuickTime for Windows 解除安装这一个方法。
(首图来源:Flickr/ Matt Chan CC BY 2.0)
