蠕虫利用QuickTime席卷MySpace

　　安全公司Websense最近指出，有些恶意录像能利用MySpace的漏洞，在嵌入式QuickTime播放器中运行JavaScript，从而对用户实施钓鱼欺诈，诱使用户访问恶意网站。

　　“可以通过查看是否存在空的QuickTime文件和MySpace上方被修改过的链接来鉴别是否种了病毒。”Websense相关人员说。MySpace拒绝对此发表评论。

　　这个攻击弱点被认为是一个跨站联结漏洞，也是互联网上比较常见的攻击方式，而对于QuickTime的相关特色来说，它不能算一个漏洞，用户们可以合法利用它，不过在这里，这种特色显然被滥用了。

　　被攻击后用户可以看到MySpace上方的导航条被改变了，而链接地址也指向MySpace站点之外的地方，用户访问这些恶意站点的时候需要输入MySpace账号密码。F-Secure的安全人员认为这是一起大规模盗窃F-Secure密码的事件。