研究者再次發現Skype漏洞 黑客可惡意更改密碼

losingb發表於2011-07-16
        7月16日訊息,據國外媒體報導,日前一位安全顧問發現Skype存在跨站指令碼攻擊漏洞,黑客可能利用該漏洞更改帳戶密碼等,官方的答覆是會在下週解決該問題。
 
  這位名為Levent Kayan的顧問來自柏林,他於週三在自己的部落格上公佈了該漏洞的細節,之後週四通知Skype,週五他表示還沒有收到來自Skype的回覆。問題主要出在輸入個人行動電話號碼的地方,Kayan指出惡意使用者可以在個人帳戶的該部分插入Java指令碼。一旦聯絡簿中有人上線,惡意使用者帳戶就會更新,該Java指令碼將會在其他聯絡人登陸時執行,其他人就會被入侵,甚至控制其個人電腦,還可以更改其個人帳戶的密碼。
 
  不過要實現入侵需要符合一些條件,比如攻擊者和受害者需要是Skype上的朋友,攻擊只有在受害者登陸時才會執行。Kayan表示他發現攻擊只會在受害者登陸後發生幾次,但一旦成功後,每次登陸都會被入侵。
 
  Skype需要檢查手機輸入區,並驗證是否確實需要手機號碼,同時不包含可執行程式碼。該問題能影響到的是Mac OS X、Windows XP、Vista和7上的Skype 5.3.0.120。
 
  Skype 並不贊同Kayan做出的問題描述,認為沒有那麼嚴重。Skype首席資訊保安官員Adrian Asher在一項宣告中強調,“事實上是系統允許在你的常用聯絡人視窗顯示資訊或連結到Skype主頁上的網站。要達到該目的這個人要通過驗證,並且是你的常用聯絡人,現實中也不會造成什麼麻煩。”

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/25496391/viewspace-702373/,如需轉載,請註明出處,否則將追究法律責任。

相關文章