随着新的一年展开，"苹果漏洞月"(Month of the Apple Bugs)计划起跑，元月份将每日宣布一项苹果软件瑕疵。1日公布弱点的同时，也发布详细的攻击程序代码。

根据"苹果漏洞月"活动网站上张贴的公告，新发现的QuickTime安全漏洞与这款软件处理实时串流协议(Real Time Streaming Protocol；RTSP)的方式有关。黑客若是特别编制一串RTSP程序代码植入被动手脚的QuickTime文件，就可能造成缓冲区溢位(buffer overflow)的问题。

"苹果漏洞月"两位灵魂人物之一的LMH说："风险在于你的计算机可能遭黑客自远程操纵，运用你的使用者账户权限为所欲为。黑客可能用JavaScript、Flash、共享链接(common links)、QTL文件等等可以启动QuickTime的方法得逞。"

公告指出，这种弱点影响9月发布的QuickTime 7.1.3版软件，支持苹果Mac OS X和微软Windows操作系统的版本都受波及。先前的版本也可能有问题。

安全厂商Secunia和法国安全事件应变小组(French Security Incidence Response Team；FrSIRT)分别把这项QuickTime安全漏洞的威胁性评为"极重大"(highly critical)和"重大"(critical)。

苹果发言人Anuj Nayar表示，公司欢迎各界提供改善Mac安全性的指教，但对新瑕疵的细节问题未加评论，也未表明苹果打不打算发布补丁程序。

QuickTime使用者可采取自保措施，即关闭支持RTSP的功能。网络威胁追踪机构SANS Internet Storm Center有提供相关的说明，指导使用者如何保护Windows PC和Mac计算机。

根据活动网站，"苹果漏洞月"的目的是抓出各种苹果软件及其它支持Mac OS X应用程序潜在的安全漏洞。LMH说："这一个月内会陆续揭露更多重大的问题。"

LMH与独立安全研究员Kevin Finisterre坦言，这项活动的"良性副作用"也许是提醒使用者提高警觉，并敦促苹果实施最佳实务管理。

这两人2日又公布第二个瑕疵，这回问题出在支持OS X与Windows的开放原始码软件VLC Media Player。黑客若刻意制作一串程序代码，就可能自远程执行任意的程序。

去年11月时，LMH发起"核心漏洞月"(Month of Kernel Bugs)，也专挑苹果软件的毛病。这项活动的灵感出自于7月间举行的"浏览器漏洞月"(Month of Browser Bugs)。