昨日，360安全中心检测到知名播放器“千千静听”软件存在重大安全漏洞并通告广大网民后，千千静听官方网站随即发表声明对此极力否认，并对360安全卫士的善意提醒无端指责，对此，360安全中心表示，千千静听安全漏洞确实存在，请千千静听对用户负责，尽快在新版本中解决此问题，并提示用户升级。

　　360安全中心表示，当用户使用千千静听5.1.0版的网页播放功能，播放一首位于本地的带有恶意代码的歌曲时，这段恶意代码即会被执行，而使用其他播放 器播放歌曲时，则无此现象。该漏洞极有可能被木马作者利用，将恶意程序伪装成音频文件，诱使用户播放运行，从而传播木马。而网上也已经有人公开叫卖“千千 静听漏洞挂马”服务。

　　针对此问题，千千静听官方网站却辩称“用户用千千静听客户端或者网页控件版本打开一个位于远程服务器上的MOD文件是根本不会被播放的，所以根本不会出现 所谓的执行位于服务器上的恶意代码的情况”，实际上，这完全是两个不同的概念， 千千静听官方针对漏洞的解释逻辑混乱，对用户极不负责，有误导网友之嫌疑，对此，360安全中心表示非常遗憾。

　　实际上，第三方软件漏洞已经成为了木马最常被利用的危险渠道，不论是远程还是本地，只要用户被诱使打开了含有恶意代码的文件、歌曲、图片，而使用的软件正 好是含有漏洞问题的软件，则木马程序立刻被触发运行，此前爆发的excel软件漏洞和acdsee的漏洞均是同样的现象。木马程序一旦被触发，首先进入用户电脑的往往是一个木马下载器，这个木马下载器会源源不断的从后台下载多达几百个木马植入用户电脑，偷窃用户各类帐号信息，危害极大。

　　360安全中心进一步解释，实际上软件漏洞的存在很难完全避免，软件制作者应该正视软件漏洞的问题，本着对用户负责的态度，积极提供解决方案。微软每月都 会对外发布补丁，并公开预警有可能导致木马传播的漏洞问题，软件制作者和安全厂商应该紧密合作，共同为用户提供安全解决方案。

　　截至到目前为止，千千静听官方仍未提供漏洞的修复方案，请用户尽快使用360安全卫士，监测是否安装了存在安全漏洞的千千静听版本，并使用360安全卫士提供的临时解决方案进行修复。

　　附：360安全中心：千千静听存在重大安全漏洞 已被木马广泛利用

　　知名播放器软件“千千静听”5.1.0版存在严重的安全漏洞，该漏洞正在被木马广泛利用。目前“千千静听”的最新版依然无法解决此安全问题。据了解，该漏洞主要是千千静听 med 文件格式堆溢出，当用户使用具有漏洞的千千静听播放或者浏览包含恶意代码的med声音文件时，木马就会轻易进入用户的电脑系统中。

　　目前网上还有公开对外出售“利用千千静听漏洞挂马服务”的“演示文稿”。

　　利用第三方软件漏洞进行传播是木马入侵的新途径，“机器狗”、“磁碟机”及“新型AV终结者”等木马均是利用软件漏洞大规模爆发，此前，国内多款国内著名软件也曾爆发出严重的安全漏洞。360安全中心提醒用户，及时为系统打补丁，及时修复软件漏洞，提高安全防范意识。

　　附：千千静听：关于所谓“安全漏洞”的重要声明

　　今天，有网友反应360安全卫士报告千千静听5.1.0网页控件版本存在安全漏洞问题。对此，千千静听官方做出以下正式声明：

　　千千静听自带的MOD解码模块只能用来打开本地的MOD格式文件，就是说，如果用户用千千静听客户端或者网页控件版本打开一个位于远程服务器上的MOD文件是根本不会被播放的，所以根本不会出现所谓的执行位于服务器上的恶意代码的情况。

　　为了证明这一点，用户可以通过下面的千千静听网页控件来进行试验：首先请点击“播放MP3”来播放一首位于服务器上的MP3文件，播放器正常播放。然后请点击“播放MOD”来播放一首位于服务器上的MOD文件，播放器会立即返回而不进行任何播放动作。用户也可以输入任何有效的链接进行测试。

　　同时用户还可以点击下面的文件链接将这两个文件下载到本机上，然后用千千静听可以成功播放。

　　测试文件下载：

　　http://wwwct.ttplayer.com/download/test.mp3

　　http://wwwct.ttplayer.com/download/test.mod

　　综上所述，千千静听并不存在所谓的“安全漏洞”，任何基于该问题对千千静听进行的所谓“报错警告”，都是不属实的，也是不负责任的。360安全卫士没有经过调查研究，妄自揣测，对千千静听控件进行所谓的漏洞警告，在千千用户中造成了不良影响，对此，360应该立即纠正，以正视听。