千千静听存在重大安全漏洞 已被木马广泛利用

丛林里的海藻

知名播放器软件“千千静听”5.1.0版存在严重的安全漏洞，该漏洞正在被木马广泛利用。目前“千千静听”的最新版依然无法解决此安全问题。据了解，该漏洞主要是千千静听 med 文件格式堆溢出，当用户使用具有漏洞的千千静听播放或者浏览包含恶意代码的med声音文件时，木马就会轻易进入用户的电脑系统中。

目前网上还有公开对外出售“利用千千静听漏洞挂马服务”的“演示文稿”。

利用第三方软件漏洞进行传播是木马入侵的新途径，“机器狗”、“磁碟机”及“新型AV终结者”等木马均是利用软件漏洞大规模爆发，此前，国内多款国内著名软件也曾爆发出严重的安全漏洞。360安全中心提醒用户，及时为系统打补丁，及时修复软件漏洞，提高安全防范意识。

丛林里的海藻

今天，有网友反应360安全卫士报告千千静听5.1.0网页控件版本存在安全漏洞问题。对此，千千静听官方做出以下正式声明:
千千静听自带的MOD解码模块只能用来打开本地的MOD格式文件，就是说，如果用户用千千静听客户端或者网页控件版本打开一个位于远程服务器上的MOD文件是根本不会被播放的，所以根本不会出现所谓的执行位于服务器上的恶意代码的情况。

为了证明这一点，用户可以通过下面的千千静听网页控件来进行试验：首先请点击“播放MP3”来播放一首位于服务器上的MP3文件，播放器正常播放。然后请点击“播放MOD”来播放一首位于服务器上的MOD文件，播放器会立即返回而不进行任何播放动作。用户也可以输入任何有效的链接进行测试。

  同时用户还可以点击下面的文件链接将这两个文件下载到本机上，然后用千千静听可以成功播放。

测试文件下载:
http://wwwct.ttplayer.com/download/test.mp3
http://wwwct.ttplayer.com/download/test.mod

  综上所述，千千静听并不存在所谓的“安全漏洞”，任何基于该问题对千千静听进行的所谓“报错警告”，都是不属实的，也是不负责任的。360安全卫士没有经过调查研究，妄自揣测，对千千静听控件进行所谓的漏洞警告，在千千用户中造成了不良影响，对此，360应该立即纠正，以正视听。

  特此声明！
  2008-04-01

张晨

这个消息好像在去年9月份都播出了吧

守候阳光

我不知道是那款软件有漏洞