天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

用QuickTime窃取Myspace密码的新病毒

2008-2-18赛迪网佚名

  苹果公司2周前刚给它的QuickTime打过补丁,据一些安全公司称,现在又有一种木马利用QuickTime的另一漏洞来攻击MySpace.com的用户,收集他们的密码等机密信息。

  

  这个木马跟去年年末攻击过MySpace用户的那种木马有些类似,它迫使MySpace.com关闭了数百的个人页面。

  

  跟去年12月的那次攻击一样,现在的这个也是利用QuickTime的“HREF”功能。该功能允许视频含有URL或者JavaScript,显然通过这两者都可以访问网页。跟往常不同,苹果公司没有向所有用户提供QuickTime的补丁,它只是将MySpace链接到拦截代码上去。换句话说,只有MySpace的用户受到了保护。

  

  “这项功能并不是什么严重的bug或者漏洞,但是它有可能被人们滥用,”趋势科技的研究总监Ivan MacIntlel说。

  

  苹果的发言人今天表示说,苹果公司已经在3月5日发布的更新中为QuickTime打上了补丁,并且该公司已于当日发布了应用在Mac OS X和Windows平台上的新版本的QuickTime。

  

  然而,很显然不是所有的QuickTime用户都使用了7.1.5版的补丁;最近那些攻击中的大部分还是利用HREF来在MySpace页面上的QuickTime视频中嵌入恶意脚本。一旦户点击播放这些视频,那么外部网站上的JavaScript木马就会攫取MySpace用户的个人信息。

  

  总部在赫尔辛基的F-Secure公司第一个发现该木马能窃取MySpace用户名,好友ID,MySpace显示名以及其他用户的密码。这些数据被上传到一个域名为Profileawareness.com的服务器上去。该网站只对会员开放,它声称能提供“精确追踪哪些访问了你的MySpace主页”的方案

  

  尽管MacIntlel无法肯定3月5日发布的QuickTime更新能否防御这种新的攻击——他所在的研究小组仍在继续调查——他认为确实有些人总不及时更新。“通常,人们都不及时更新他们的软件”他说。

  

  MySpace的代表对此事未发表任何评论。

  

  =============================================

  原文作者:Gregg Keizer

  原文来源:ComputerWorld

  原文链接:http://www.computerworld.com/action/article.do?
command=viewArticleBasic&articleId=9013702&intsrc=hm_list

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行