شماره: IRCNE201008867
به گفته يك محقق امنيتي اسپانيايي، اهمال Apple در ترميم يك كد قديمي در QuickTime، كاربران IE را در معرض حملات قرار داده است. اين محقق كه ماه گذشته يك نقص امنيتي را در IE8 كشف كرده بود، روز گذشته آسيب پذيري پلاگين QuickTime را افشا كرد.
به گفته اين محقق امنيتي، هكرها تنها لازم است كاربران را براي مشاهده يك وب سايت ميزبان كد خرابكار فريب دهند. اين حمله زماني كار ميكند كه كاربر با مرورگر IE بر روي سيستم ويندوز XP، ويندوز ويستا يا ويندوز 7 كه QuickTime 7.x يا نسخه قديميتر QuickTime 6.x بر روي آن نصب شده باشد، مشغول مرور وب باشد. كد حمله اين محقق امنيتي همچنين از دو معيار امنيتي كه مايكروسافت به ويندوز اضافه كرده است، يعني DEP و ASLR نيز عبور كرد.
با توجه به استفاده گسترده از IE و نيز QuickTime، اين مساله ميتواند براي سازماندهي حملات مورد سوء استفاده قرار گيرد.
تا زمان عرضه اصلاحيه توسط Apple، كاربران ميتوانند plug-in مربوط به QuickTime را غير فعال كرده يا حذف نمايند. شركت امنيتي Symantec توصيه كرده است كه كاربران killbit مربوط به كنترل QuickTime ActiveX را تنظيم كرده يا نام اين plug-in را تغيير دهند.
دستورات لازم براي تنظيم killbit مربوط به كنترل ActiveX در سايت پشتيباني مايكروسافت در دسترس قرار دارد.
- 3