苹果公司2周前刚给它的QuickTime打过补丁，据一些安全公司称，现在又有一种木马利用QuickTime的另一漏洞来攻击MySpace.com的用户，收集他们的密码等机密信息。

这个木马跟去年年末攻击过MySpace用户的那种木马有些类似，它迫使MySpace.com关闭了数百的个人页面。

跟去年12月的那次攻击一样，现在的这个也是利用QuickTime的“HREF”功能。该功能允许视频含有URL或者JavaScript，显然通过这两者都可以访问网页。跟往常不同，苹果公司没有向所有用户提供QuickTime的补丁，它只是将MySpace链接到拦截代码上去。换句话说，只有MySpace的用户受到了保护。

“这项功能并不是什么严重的bug或者漏洞，但是它有可能被人们滥用，”趋势科技的研究总监Ivan MacIntlel说。

苹果的发言人今天表示说，苹果公司已经在3月5日发布的更新中为QuickTime打上了补丁，并且该公司已于当日发布了应用在Mac OS X和Windows平台上的新版本的QuickTime。

然而，很显然不是所有的QuickTime用户都使用了7.1.5版的补丁；最近那些攻击中的大部分还是利用HREF来在MySpace页面上的QuickTime视频中嵌入恶意脚本。一旦户点击播放这些视频，那么外部网站上的JavaScript木马就会攫取MySpace用户的个人信息。

总部在赫尔辛基的F-Secure公司第一个发现该木马能窃取MySpace用户名，好友ID，MySpace显示名以及其他用户的密码。这些数据被上传到一个域名为Profileawareness.com的服务器上去。该网站只对会员开放，它声称能提供“精确追踪哪些访问了你的MySpace主页”的方案。

尽管MacIntlel无法肯定3月5日发布的QuickTime更新能否防御这种新的攻击——他所在的研究小组仍在继续调查——他认为确实有些人总不及时更新。“通常，人们都不及时更新他们的软件”他说。

MySpace的代表对此事未发表任何评论。

=============================================

原文作者：Gregg Keizer

原文来源：ComputerWorld

原文链接：http://www.computerworld.com/action/article.do?
command=viewArticleBasic&articleId=9013702&intsrc=hm_list