Skype曝新漏洞 进行视频搜索将被恶意利用
来源:岁月联盟
时间:2008-01-22
据国外媒体报道,为了利用上述漏洞,恶意代码作者必须首先找到一个得到网民信任、但存在跨本地和远程区脚本错误的网站。类似的脚错误比较常见,假如能够能够获得更高的许可权,存在安全隐患的问题脚本就可以自由运行。类似脚本有非常广泛的应用(其中部分脚本很容易被安全软件发现,比如Vista的VAC),但绝大部分脚本可在安全软件及用户完全不知情的情况下运行。
安全研究人员佩特克·佩特克夫表示,“一旦恶意脚本代码在本地运行,后果可能无法想像,比如随意读写本地磁盘数据,通过WSH原始设置运行可执行恶意代码等等。”一旦发生上述事件,恶意代码的传播风险很大,因为通常使用Skype进行视频搜索的网站,比如Dailymotion.com无法阻止跨网站脚本代码的运行,那么该网站的所有电影文件都可能包含上述脚本,尽管没有发现脚本被感染的视频内容。
目前存在上述安全漏洞的版本是Skype v.3.6.0.244,旧版本也可能存在。因此,为了防止该漏洞被恶意利用,用户目前最好不要通过Skype执行视频搜索。仅仅安装Skype软件,以及利用视频搜索以外的功能不会对系统造成安全威胁。