Skype出漏洞黑客可在网站上增添恶意广告

日期：2008-1-21 15:40:22 来源：eNet硅谷动力作者：张婕

　　据安全研究人员拉夫于上周四报告，在eBay公司的Skype通讯软件中存在一个编程错误，它能够使电脑犯罪分子在用户的 PCs上植入恶意代码。这一漏洞与Skype利用Windows工作之便IE组件显示HTML的方式有关。由于Skype没有对这一软件进行严格的安全控制，致使电脑黑客能够以危险的方式在用户的系统上运行脚本代码，并安装恶意软件。
　　据安全研究人员佩特柯在上周四的博客中表示，这一问题是Skype是以安全性较低的“Local Zone”安全设置来运行IE组件的。因此，使黑客可以为所欲为，比如黑客可以为从本地光盘上读/写文件，启动可执行文件等。然而，黑客若想发动攻击，就需要首先找到一个可信任的网站，这一网站需要包含有一个名为跨区域脚本错误的漏洞。这一漏洞将向黑客提供一种诱骗Skype运行恶意脚本的途径，这些脚本被伪装为来自可信任站点的脚本。
　　安全研究人员拉夫在发布到其博客上的一个视频片断中演示了怎样利用Dailymotion.com网站上的跨信任区漏洞，通过使用Skype中的“Add video to chat”功能来启动Windows操作系统中的计算器。
　　据佩特柯表示，用户仅仅需简单地通过Skype的“Add video to chat”访问DailyMotion就能够遭到攻击。他还表示，更为糟糕的是，为了增加攻击用户的可能性，黑客能够在网站上增添恶意广告。
　　据拉夫表示，这一漏洞影响到最新版本的Skype━━Skype 3.6.0.244，而较旧的版本也不能被排除有受到攻击的可能。

如需转载本网站文章或对本网站文章存在任何疑问，请先阅读本网站免责声明