[01.19]Skype出现最新安全漏洞 攻击者可为所欲为

lukeji3

[01.19]Skype出现最新安全漏洞 攻击者可为所欲为
发布时间：2008.01.19 09:31  来源：赛迪网  作者：啸风

【赛迪网讯】1月19日消息，视频聊天软件Skype日前被发现存在一个程序错误，该漏洞为网络恶意攻击者实施入侵开启了方便之门，一个网络安全研究机构此前公布了这一消息。


据国外媒体报道，本周四，安全机构Aviv Raff公布了Skype存在安全漏洞的消息。该消息称，Skype软件利用IE浏览器来运行HTML时会出现漏洞，由于Skype公司对该软件的安全监控不够严格，因此攻击者很容易在存在漏洞的用户机上运行恶意代码，其后果将十分严重。


问题出在当Skype运行IE浏览器部件时，其“Local Zone”的安全设置级别很低，因此攻击者几乎可以为所欲为，比如在本地硬盘上读写任何内容，或运行可执行恶意代码，安全研究人员佩特克·佩特克夫本周四在博客上透露了上述消息。


实施攻击前，攻击者通常寻找一个信誉较好、并且存在一名为“跨区脚本错误”漏洞的网站投放诱饵，Skype用户在不知情的情况下会打开并运行恶意脚本。


佩特克夫表示，“攻击得逞的前提条件是，用户通过Skype的添加视频聊天按钮访问DailyMotion网站，并点击触发跨网站脚本矢量器。”比较糟糕的结果是，攻击者会在中招的PC上投放大量经过恶意代码编辑的广告，进一步增大传播的可能性。


上述漏洞影响Skype最新版本3.6.0.244，老版本也可能存在风险。