专家提醒：Quicktime 用户需修复漏洞

    近日，苹果公司旗下的多媒体播放器Quicktime也爆出存在安全漏洞，同样是近段时间以来被木马病毒疯狂利用的ActiveX控件漏洞。据悉，只要是QuickTime Player低于7.4.1的版本均存在此问题，即便是您的电脑中没有装QuickTime，只要有其他软件使用了QuickTime的组件，也有可能存在此漏洞，并且厂商还没有提供相关补丁和升级程序。用户请立即使用360安全卫士进行扫描，按照提示进行修复，或直接登录网站（http://360safe.qihoo.com/custom/softleak/quicktime.html）下载补丁文件进行修复。

    据360安全专家介绍，QuickTime所安装的QTPlugin.ocx ActiveX控件在处理畸形参数数据时存在缓冲区溢出漏洞，QTPlugin.ocx ActiveX控件没有正确地验证对SetBgColor、SetHREF、SetMovieName、SetTarget和SetMatrix函数的输入，如果用户受骗访问了恶意网页并向这些函数传送了超长字符串的话，就可能触发栈溢出，导致执行任意指令。远程攻击者可能利用此漏洞控制用户系统。

    这些所说的软件漏洞，说白了就是在你的机器上开了一道隐蔽的“后门”，只要你不经意间访问到一个带有恶意代码的网页，就会在不知不觉中通过这道“后门”让你的机器里植入更多的木马病毒。而这些木马病毒就会通过破坏你的杀毒软件、监视你的键盘输入、抓拍屏幕甚至直接控制你的电脑等等方式，来窃取你的帐号密码等个人隐私信息。

    近期，越来越多的第三方软件都相继爆出了存在ActiveX控件的安全漏洞，而且还都是耳熟能详、每天基本都需要使用的软件之一，这无疑给用户带来了巨大的安全隐患。“随着木马病毒利用第三方软件漏洞传播的力度加大，还会有更多相关的软件都可能成为传播木马的‘帮凶’”360安全专家不无忧虑的表示。
 
    据介绍，目前正值木马利用第三方软件漏洞传播的高峰期，除去相关厂商有责任及时的检查自己的软件是否存在类似漏洞的同时，用户也应采取相应的自我防护。禁止IE运行相关的ActiveX控件，是制止第三方软件ActiveX安全漏洞进行木马传播的终极方式。但这种做法无疑会影响很多的软件应用，安全了但却不方便。

    360安全专家建议，用户可以用360安全卫士进行扫描，修复所查到的漏洞。并把常用的软件及时升级。另外，针对木马主要以窃取帐号、密码隐私信息为主的特点，使用360保险箱这样的主动防御安全软件，对帐号密码进行保护，尽量避免未知木马病毒带来的危害。