Skype 驚現跨區域(Cross-Zone Scripting)腳本漏洞

Aviv Raff 在他的個人網站(http://aviv.raffon.net)中公布了一個最新發現的腳本漏洞,讓惡意代碼在點擊了 Skype 上的鏈接后執行,以下為他的文章。

Skype 使用 IE 控件顯示其 HTML 頁面內容,最典型的例子是,“Send money via Paypal” 對話,或者 “Add video to chat” 對話。最近,我發現,Skype 竟然以本地區域(Local Zone)運行其 IE 控件,更大問題是,Skype 將 HTML 頁面運行在非鎖定狀態的本地區域,和 AOL 即時通訊曾經犯的錯誤一樣。

這意味著,如果向這些頁面注如入一段腳本,將有可能在用戶的機器上執行這段代碼,GNUCITIZENPDP 說,可以使用 Airpwn Wifi 數據包注入漏洞 套用到該機制,我完全同意。

今天,CriticalSecurityMiroslav Lu?inskij 向著名的安全組織 seclists.org (即著名的 insecure.org ,譯者注)發布了一個消息,說,他可以在 “Add video to chat” 對話中注入一個含跨站點腳本的 DailyMotion 網站的視頻鏈接,這里可以看到該過程的演示,他同時稱,事實上,該腳本應該叫做跨區域腳本,因為該腳本運行在 IE 的本地區域,而不是 Internet 區域。

憑借該機制,黑客可以上載一段視頻,并起一個誘惑人的名字(比如艷星希爾頓什么的),讓一些搜索希爾頓色情視頻的人上當。我已經在 Skype 最新版本,V3.6.0.244上測試過該漏洞,以前的版本應該也有該漏洞。在 Skype 發布安全補丁之前,建議不要在 Skype 上搜索視頻。 

本文國際來源:http://aviv.raffon.net/2008/01/17/SkypeCrosszoneScriptingVulnerability.aspx
由 COMSHARP CMS 的35公里翻譯并發表在銳商企業CMS官方站點 www.comsharp.com


 





評論
...
發表評論


用戶


評論(不超過1000字)


 5 x 3 = ? 請將左邊的算術題的結果填寫到左邊的輸入框  


  發送給朋友| 打印友好
7 x 12 小時服務熱線
0532 - 83669660
微信: comsharp
QQ: 13885509
QQ: 592748664
Skype: comsharp