据国外媒体报道,近日,苹果公司发布了iTunes 9.2.1,此次更新修复了iTunes一个高危漏洞。Mac及Windows平台iTunes均存在该可导致远程代码执行的漏洞。
据丹麦安全漏洞情报厂商Secunia报道,该漏洞代号为CVE-2010-1777,由边界错误触发。攻击者诱使用户访问恶意URI,从而可能导致应用程序意外终止或任意代码执行。该漏洞的修复方法是加强边界检测。
笔者指出,由于攻击者不需太多的专业知识即可利用影响URI处理程序的漏洞,因此类似的漏洞非常危险。鉴于iTunes庞大的用户群及iPod、iPhone及iPad的高知名度,大规模利用该漏洞的攻击很可能发生。因此,笔者强烈建议用户立即升级至iTunes 9.2.1。
此前,Windows XP帮助和支持中心也被披露存在类似的漏洞,该漏洞在披露后不久就被攻击者大量利用。
Windows用户下载iTunes 9.2.1地址:下载地址
Mac用户下载iTunes 9.2.1地址:下载地址