RealPlayer QuickTime均存在严重安全漏洞

　　美国东部时间4月1日(北京时间4月2日)消息，研究者们正在对两种当前甚为流行的数字媒体播放器--RealNetworks公司的RealOne和苹果公司(Apple)的QuickTime的安全漏洞问题提出严重警告，因为它们已经使数百万的系统置身危险状态中。这些弱点彼此并不相关，却影响了媒体播放器读取某些文件的方式，并可能使易受影响的系统遭遇侵犯。

　　RealNetworks(Quote, Company Info)公司已经承认他们旗下的媒体播放器中存在安全漏洞，而这个播放器被热衷于数字媒体的用户广泛使用。受到侵袭的播放器版本包括RealOne Player和在Windows环境下运行的RealOne Player v2, RealPlayer 8，在Mac OS 9环境下运行的RealPlayer 8,在Mac OS X环境下运行的RealOne Player以及RealOne Enterprise Desktop Manager和RealOne Enterprise Desktop。但是Helix DNA的客户机程序并未受到这种弱点的影响。

　　公司发言人声称任何攻击者都有可能损害目标系统--如果他能够利诱用户装载一个特制的URL的话。这样任意码便会在开始使用QuickTime的用户的特权下被执行。由此，RealNetworks公司提醒用户，黑客可以创造一种特殊的破坏性的小型网络图形文件(PNG)来造成大量的系统瘫痪。他们最容易利用这种弱点在用户的机器上执行任意码，而这种被攻击是由于在播放器的RealPix构成里使用了较旧的、易受攻击的数字压缩程序库的版本造成的。除了修正被公布的弱点之外，RealNetworks公司还对所有RealOne Player的源代码进行检查，以定位其他使用该数字压缩程序库的地区，这样，其余的播放器也已经得到修正并被及时更新。公司敦促用户尽快对所有此类播放器安装更新程序。

　　致力于安全研究的iDefense公司警告说QuickTime中存在可能被黑客利用的缓冲器过量的问题，这种播放器的所有权归苹果电脑公司(Quote, Company Info)。还有一位警告者声称含有400字符的URL将会超出已被分配的空间限度，过度书写已被保存过的说明指示器(EIP)，并为进攻者敞开大门，这样他们得以重新定位控制器的流量并执行任意码。

　　iDefense公司声称，运行于微软windows平台的QuickTime5.x和6.0版本的播放器容易受到攻击，但是在MacOS环境下运行的该播放器不存在这个问题。苹果公司已经公布了新的版本QuickTime6.1来弥补这个缺陷。