close
一位安全顧問日前發現Skype存在跨站腳本攻擊漏洞,駭客可能利用該漏洞更改帳戶密碼等,官方答覆會在下周解決該問題。
據國外媒體報導,這位元名為Levent Kayan的顧問來自柏林,他於13日在自己的博客上公佈了該漏洞的細節,隔日通知Skype,他15日表示還沒有收到來自Skype的回復。
問題主要出在輸入個人移動電話號碼的地方,Kayan指出惡意用戶可以在個人帳戶的部分插入Java腳本。一旦聯絡簿中有人上線,惡意用戶帳戶就會更新,該 Java腳本將會在其他聯絡人登陸時執行,其他人就會被入侵,甚至控制其個人電腦,還可以更改其個人帳戶的密碼。
不過要實現入侵需要符合一些條件,比如攻擊者和受害者需要是Skype上的朋友,攻擊只有在受害者登陸時才會執行。Kayan表示他發現攻擊只會在受害者登陸後發生幾次,但一旦成功後,每次登陸都會被入侵。
Skype需要檢查手機輸入區,並驗證是否確實需要手機號碼,同時不包含可執行代碼。該問題能影響到的是Mac OS X、Windows XP、Vista和7上的Skype 5.3.0.120。
Skype 並不贊同Kayan做出的問題描述,認為沒有那麼嚴重。Skype首席資訊安全官員Adrian Asher在一項聲明中強調,「事實上是系統允許在你的常用聯繫人視窗顯示資訊或鏈結到Skype主頁上的網站。要達到該目的這個人要通過驗證,並且是你的常用聯絡人,現實中也不會造成什麼麻煩。」2011年7月17日 星期日
全站熱搜
留言列表
案例分享 (4)
