iTunes瑕疵修補仍導致多項弱點

蘋果今年稍早才修補好的Windows版本iTunes 9.0.3.15軟體上的一項弱點,最近被發現和DLL載入問題有關,影響不同廠商的十多項應用,包括至少4項微軟應用程式。

Rapid7安全研究人員HD Moore最近發表了2篇詳載本弱點的部落格文章。微軟週一已發佈安全通報解決。

Moore表示,他是在研究Windows捷徑相關攻擊時發現到這組DLL攻擊弱點。他本來在斯洛伐克安全公司Acros公佈利用遠端網路分享的檔案攻擊舊版iTunes的相關細節時,公佈此項安全公告並通知廠商。

蘋果在三月間已修補iTunes9.1上的這項弱點,但還有十多項應用尚未解決該問題。

Moore表示,雖然測試中還有40-50支應用受到影響,實際上可能沒這麼多。他表示大約有15到20項桌面程式可能受影響。

「如果在攻擊者控制的目錄中開啟某一受駭的檔案型態,就會啟動這項弱點。所謂目錄可能是USB磁碟、解壓縮檔案或遠端網路分享匣。通常情況下使用者必須先瀏覽目錄再開啟特定類的檔案,攻擊才會起作用。」

DLL瑕疵已存在十多年,雖然過去有修補程式可降低一定程度風險,但還未能有效解決,Moore說。七月間一份在國際軟體測試和分析2010大會發表的報告也針對這組DLL載入弱點做了說明。該報告共同作者表示,他們以自動化工具在28項常用軟體中找出1,700多項DLL載入問題,微軟也獲得通知。

Moore已更新Metasploit Framework以協助找出受影響的應用。

微軟已於週一4:00pm的安全公告中公告並修補DLL弱點。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416