【原創翻譯,版權所有,合作網站如欲轉載,請註明原創翻譯作者「劉亞萌」,及文章出處(賽迪網)。謝絕非合作網站轉載,違者,賽迪網將保留追究其法律責任的權利!】
eBay的社交軟體Skype裡面包含的一個程序錯誤,給了網絡罪犯們一個新途徑,可以使他們將惡意軟體隱蔽地安裝在受害者們的PC機上。
這一漏洞由安全研究員Aviv Raff在週四報告出來,與Skype如何利用Windows網絡瀏覽器組件打開超文本鏈接頁面的使用方式息息相關。因為Skype公司並沒有對它的軟體進行嚴格的安全控制,因此一個攻擊者可以以一種十分危險的方式,在受害者的系統中運行惡意腳本代碼並且最終實施惡意軟體的安裝。
安全研究員Petko Petkov 在週四發表的一篇關於此事件的博客文章中寫道,主要問題是Skype是在一種低鎖定程度的本地安全模型設置下運行網絡瀏覽器組件。正因為如此,攻擊者可以做「各種各樣的事情……比如,從本地硬碟中讀取/寫入文件和運行可執行文件。」
為了使攻擊能夠成功發生,那些壞人們會首先找到一個可信賴的網站,這個網站需包含一個普遍存在的被稱為cross-zone scripting的程序漏洞。
這個漏洞會給他們一個欺騙Skype的方法,只要他們的腳本是來自這個可信賴的網站地址,Skype就會運行這個惡意腳本。
Raff在他的一篇博客文章裡,通過視頻向人們展示了Dailymotion.com網站上的cross-zone scripting漏洞是如何被利用,通過使用Skype軟體的「添加視頻來聊天」的特色功能來啟動Windows裡的計算程序的。
「用戶們只需要簡單地通過點擊Skype軟體裡的『添加視頻來聊天』按鈕來訪問DailyMotion網站,就會失足碰觸到包含cross-site scripting漏洞的病毒載體,」Petkov寫道。
更為糟糕的是,攻擊者們會使用被惡意編碼的廣告,對網站發起洪水般的攻擊,以達到提高他們感染受害者可能性的目的,他說。「這種類型的攻擊非常容易實施,而且幾乎不需要任何準備就可以進行。」
Raff還提到,這個漏洞感染了最新版本的Skype軟體-- 3.6.0.244版本。而老版本的軟體也同樣處在風險之中。「我建議大家停止通過Skype來搜索視頻,直到Skype公司的人能夠修復這一漏洞為止,」他寫到。
Skype公司的代表還未立即對此發表任何評論。
(