Skype曝新漏洞进行视频搜索将被恶意利用 / 安全 / 挖客网

5
挖它!

分享者: mark(9.06) | 通过:网页 | 2008年01月21日提交
分类: 安全 | 标签: skype,漏洞

1月21日消息，安全厂商Aviv Raff日前发现并演示了即时通讯软件Skype存在的安全漏洞，在特定情况下恶意代码可通过该漏洞运行。漏洞发生在Skype的网页控制部件，该部分使用IE浏览器运行内部或外部HTML，但运行时要把安全设置成“本地”。　

据国外媒体报道，为了利用上述漏洞，恶意代码作者必须首先找到一个得到网民信任、但存在跨本地和远程区脚本错误的网站。类似的脚错误比较常见，假如能够能够获得更高的许可权，存在安全隐患的问题脚本就可以自由运行。类似脚本有非常广泛的应用（其中部分脚本很容易被安全软件发现，比如Vista的VAC），但绝大部分脚本可在安全软件及用户完全不知情的情况下运行。

安全研究人员佩特克·佩特克夫表示，“一旦恶意脚本代码在本地运行，后果可能无法想像，比如随意读写本地磁盘数据，通过WSH原始设置运行可执行恶意代码等等。”一旦发生上述事件，恶意代码的传播风险很大，因为通常使用Skype进行视频搜索的网站，比如Dailymotion.com无法阻止跨网站脚本代码的运行，那么该网站的所有电影文件都可能包含上述脚本，尽管没有发现脚本被感染的视频内容。

目前存在上述安全漏洞的版本是Skype v.3.6.0.244，旧版本也可能存在。因此，为了防止该漏洞被恶意利用，用户目前最好不要通过Skype执行视频搜索。仅仅安装Skype软件，以及利用视频搜索以外的功能不会对系统造成安全威胁。
【赛迪网讯】

转载请注明：转自挖客网（waakee.com）