用QuickTime窃取Myspace密码的新病毒
苹果公司2周前刚给它的QuickTime打过补丁,据一些安全公司称,现在又有一种木马利用QuickTime的另一漏洞来攻击MySpace.com的用户,收集他们的密码等机密信息。
这个木马跟去年年末攻击过MySpace用户的那种木马有些类似,它迫使MySpace.com关闭了数百的个人页面。
跟去年12月的那次攻击一样,现在的这个也是利用QuickTime的“HREF”功能。该功能允许视频含有URL或者JavaScript,显然通过这两者都可以访问网页。跟往常不同,苹果公司没有向所有用户提供QuickTime的补丁,它只是将MySpace链接到拦截代码上去。换句话说,只有MySpace的用户受到了保护。
“这项功能并不是什么严重的bug或者漏洞,但是它有可能被人们滥用,”趋势科技的研究总监Ivan MacIntlel说。
苹果的发言人今天表示说,苹果公司已经在3月5日发布的更新中为QuickTime打上了补丁,并且该公司已于当日发布了应用在Mac OS X和Windows平台上的新版本的QuickTime。
然而,很显然不是所有的QuickTime用户都使用了7.1.5版的补丁;最近那些攻击中的大部分还是利用HREF来在MySpace页面上的QuickTime视频中嵌入恶意脚本。一旦户点击播放这些视频,那么外部网站上的JavaScript木马就会攫取MySpace用户的个人信息。
总部在赫尔辛基的F-Secure公司第一个发现该木马能窃取MySpace用户名,好友ID,MySpace显示名以及其他用户的密码。这些数据被上传到一个域名为Profileawareness.com的服务器上去。该网站只对会员开放,它声称能提供“精确追踪哪些访问了你的MySpace主页”的方案。
尽管MacIntlel无法肯定3月5日发布的QuickTime更新能否防御这种新的攻击——他所在的研究小组仍在继续调查——他认为确实有些人总不及时更新。“通常,人们都不及时更新他们的软件”他说。
MySpace的代表对此事未发表任何评论。
