【赛迪网讯】1月19日消息,视频聊天软件Skype日前被发现存在一个程序错误,该漏洞为网络恶意攻击者实施入侵开启了方便之门,一个网络安全研究机构此前公布了这一消息。
据国外媒体报道,本周四,安全机构Aviv Raff公布了Skype存在安全漏洞的消息。该消息称,Skype软件利用IE浏览器来运行HTML时会出现漏洞,由于Skype公司对该软件的安全监控不够严格,因此攻击者很容易在存在漏洞的用户机上运行恶意代码,其后果将十分严重。
问题出在当Skype运行IE浏览器部件时,其“Local Zone”的安全设置级别很低,因此攻击者几乎可以为所欲为,比如在本地硬盘上读写任何内容,或运行可执行恶意代码,安全研究人员佩特克·佩特克夫本周四在博客上透露了上述消息。
实施攻击前,攻击者通常寻找一个信誉较好、并且存在一名为“跨区脚本错误”漏洞的网站投放诱饵,Skype用户在不知情的情况下会打开并运行恶意脚本。
佩特克夫表示,“攻击得逞的前提条件是,用户通过Skype的添加视频聊天按钮访问DailyMotion网站,并点击触发跨网站脚本矢量器。”比较糟糕的结果是,攻击者会在中招的PC上投放大量经过恶意代码编辑的广告,进一步增大传播的可能性。
上述漏洞影响Skype最新版本3.6.0.244,老版本也可能存在风险。
(责任编辑:饶翊)
