2008年1月24日資訊，安全研究人員本周二表示,因?yàn)閾?dān)心黑客可能利用Skype視頻共享存在的安全漏洞發(fā)起自我復(fù)制攻擊,因此Skype被迫關(guān)閉了該功能.

據(jù)國(guó)外媒體報(bào)道,安全研究人員Aviv Raff最早于上周四披露了Skype存在的安全漏洞,當(dāng)Skype通過(guò)IE部件運(yùn)行HTML時(shí)該漏洞會(huì)出現(xiàn).Skype的視頻共享功能可以讓用戶(hù)共享存 放在Dailymotion.com 和Metacafe.com兩個(gè)站點(diǎn)的視頻內(nèi)容,共享內(nèi)容時(shí)還可以與其它好友正常聊天.

上周,Raff公開(kāi)演示了攻擊者如何利用Skype存在的安全漏洞來(lái)運(yùn)行惡意程序的過(guò)程,本周二,Raff進(jìn)一步表示,該安全漏洞可能導(dǎo)致的后果遠(yuǎn)遠(yuǎn)要比他當(dāng)初想到的嚴(yán)重.Raff在博客中表示:“用戶(hù)一不留神就可能中招,比如訪問(wèn)一個(gè)問(wèn)題網(wǎng)站,或點(diǎn)擊即時(shí)信息傳來(lái)的網(wǎng)站鏈接等.”

本周二,Skype已經(jīng)從該客戶(hù)端軟件中取消了視頻功能,用戶(hù)在點(diǎn)擊聊天窗口下的視頻按鈕時(shí),系統(tǒng)回復(fù)信息稱(chēng)“由于安全原因”該功能暫時(shí)不可用,信息還稱(chēng)“我們的工程師正在全力解決這一問(wèn)題,對(duì)您帶來(lái)不便我們感到非常抱歉.”

Skype公司代表沒(méi)有對(duì)上述消息發(fā)表評(píng)論.上周,Skpe公司發(fā)言人維盧·阿拉克證實(shí),在登錄Dailymotion.com網(wǎng)站時(shí),Skype 3.5 和3.6兩個(gè)版本的確存在安全問(wèn)題,不過(guò)用戶(hù)可通過(guò)Metacafe.com網(wǎng)站正常共享視頻.但Raff表示,本周二在得知安全隱患后,Skype公司臨時(shí)將全部視頻功能取消.

Raff表示,Metacafe網(wǎng)站存在一個(gè)交互腳本漏洞,這也是一個(gè)普通的編程錯(cuò)誤,但Raff可以通過(guò)該漏洞在Metacafe.com上運(yùn)行JavaScript腳本,這說(shuō)明該漏洞完全可能被攻擊者利用來(lái)運(yùn)行惡意程序.攻擊者可以通過(guò)被控制的電腦向該用戶(hù)的所有Skype好友發(fā)送指向惡意網(wǎng)站的鏈接.

在Raff的攻擊演示中,攻擊者首先必須向Metacafe 和Dailymotion網(wǎng)站其中之一發(fā)布經(jīng)過(guò)惡意編輯的視頻文件然而Metacafe 網(wǎng)站本周二卻表示,惡意攻擊者突破該網(wǎng)站的內(nèi)容過(guò)濾發(fā)布包括惡意代碼視頻文件的事“幾乎不可能”.Metacafe公司在聲明中表示,Skype用戶(hù)最早可能于本周早晨正常使用Metacafe的視頻內(nèi)容.

Raff表示,由于惡意攻擊有可能導(dǎo)致大范圍的蠕蟲(chóng)暴發(fā),因此Skype最好應(yīng)在問(wèn)題解決之后再開(kāi)通Metacafe服務(wù).

Raff表示相信Dailymotion網(wǎng)站也可能會(huì)受到類(lèi)似攻擊,但由于 Skype已切斷了與該網(wǎng)站的連接,所以目前無(wú)法證實(shí).安全研究人員表示,問(wèn)題主要出在Skype用戶(hù)使用的IE部件的設(shè)置有存在不當(dāng)之處.本來(lái)在運(yùn)行網(wǎng)頁(yè)是設(shè)置較為安全的“互聯(lián)網(wǎng)域”級(jí)別,但Skype用戶(hù)卻使用了IE的“本地域”設(shè)置,該設(shè)置通常用于運(yùn)行信任度較高的內(nèi)容.

標(biāo)簽： 安全 代碼 互聯(lián)網(wǎng) 腳本 漏洞 媒體

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。