Skype新漏洞可导致访问本地资源

新客网 XKER.COM 2008-01-22 来源：Alright 驱动之家收藏本文

　　据安全研究人员Aviv Raff透露，他已经发现并证明了Skype软件存在的一个系统漏洞。透过Skype的内部漏洞，将允许在某些情况下运行恶意代码。该问题的产生是由于Skype的网络控制功能造成的，该程序使用IE浏览器浏览内部和外部HTML代码，并且使用“本地”安全设定。　　

　　实际上利用该bug，恶意软件的作者需要找到或建立一个存在跨区域脚本错误的站点，在互联网上存在这种类型错误的站点还是比较普遍的。　　

　　据Aviv Raff表示，“当某一特定网络资源符合本地安全设定的范畴，那么将可以实现本地磁盘读写操作，或是执行任何可执行文件”。而且这种情况是很有可能发生的，例如Skype内置了视频搜索功能(dailymotion.com)，用户将很容易受到跨站点脚本文件攻击。虽然到目前为止还没有这样的站点存在。　　

　　这个bug影响到的版本是Skype 3.6.0.244，并可能影响到旧版本的客户端软件。该问题的解决方法是，避免使用Skype内置的视频搜索功能，仅使用电话功能不会暴露系统的潜在危险。

上一篇：土匪虫劫持安全软件黑客工具变身驱动程序下一篇：下载者海神号致杀软失效下载木马

【收藏】【评论】【推荐】【投稿】【打印】【关闭】