【IT专家网独家】eBay的Skype通讯软件中的一个编程错误能够让网络犯罪分子把恶意软件安装到受害者的PC中。
这个安全漏洞是安全公司Aviv Raff上个星期报告的。这个安全漏洞与Skype利用Windows IE浏览器组件发送HTML文件有关。因为Skype没有采用严格的安全控制,攻击者能够以危险的方式在受害人PC上运行脚本代码并且最终安装恶意软件。
安全研究人员Petko Petkov星期四在博客中称,这个问题是Skype以没有锁定的“本地区域”安全设置运行IE组件。由于这个漏洞,攻击者能够在受害者PC上做任何事情,如读/写本地硬盘的文件和运行可执行文件等。
要使攻击成功,坏蛋首先要找到一个包含跨区脚本错误这种常见的编程错误的可信赖的网站。这种安全漏洞能够向黑客提供一种方法引诱Skype运行他们的恶意脚本,就像这个脚本程序来自可信赖的网站一样。
Raff在博客中发表了一段视频,演示了如何使用Skype的“向聊天增加视频”的功能利用Dailymotion.com网站上的跨区脚本安全漏洞启动Windows中的计算器程序。
IT专家网验证发现,攻击者可能会在网站上发布大量的拥有恶意代码的广告以便增加感染受害者的可能性。这种攻击是很容易实施的,几乎不需要做准备。
Raff说,这个安全漏洞影响到最新版本的Skype 3.6.0.244软件。老版本的Skype软件可能也存在风险。在Skype修复这个安全漏洞之前,建议用户不要在Skype软件中进行搜索视频的操作。
IT专家网原创文章,未经许可,严禁转载!
