CNET科技资讯网1月21日国际报道 Skype通讯软件中的一个编程错误会给电脑犯罪分子提供一个在用户的计算机上植入恶意代码的新途径。
这一缺陷是由安全研究人员拉夫在上周四报告的,与Skype利用Windows工作之便IE组件显示HTML的方式有关。由于Skype没有对该软件进行严格的安全控制,黑客能够以危险的方式在用户的系统上运行脚本代码,并安装恶意软件。
安全研究人员佩特柯在上周四的博客中写道,问题在于Skype是以安全性较低的Local Zone安全设置来运行IE组件的。因此黑客能够做任何想做的事,例如从本地光盘上读/写文件,启动可执行文件。
要发动攻击,黑客需要首先找到一个可信任的网站,该网站需要包含有一个名为跨区域脚本错误的缺陷。这一缺陷将向黑客提供一种诱骗Skype运行恶意脚本的途径,这些脚本被伪装为来自爱信任站点的脚本。
在发布到其博客上的一个视频片断中,拉夫演示了如何利用Dailymotion.com网站上的跨信任区缺陷,通过使用Skype中的Add video to chat功能来启动Windows中的计算器的。佩特柯说,用户只需简单地通过Skype的Add video to chat访问DailyMotion即可受到攻击。
佩特柯表示,更糟糕的是,为了增加攻击用户的可能性,黑客可以在网站上增添恶意广告。
拉夫说,这一缺陷影响最新版本的Skype━━Skype 3.6.0.244,较旧的版本也可能会受到攻击。在这一缺陷被修复前,我建议用户不要在Skype中搜索视频。