Aviv Raff 在他的個人網站（http://aviv.raffon.net）中公布了一個最新發現的腳本漏洞，讓惡意代碼在點擊了 Skype 上的鏈接后執行，以下為他的文章。

Skype 使用 IE 控件顯示其 HTML 頁面內容，最典型的例子是，“Send money via Paypal” 對話，或者 “Add video to chat” 對話。最近，我發現，Skype 竟然以本地區域（Local Zone）運行其 IE 控件，更大問題是，Skype 將 HTML 頁面運行在非鎖定狀態的本地區域，和 AOL 即時通訊曾經犯的錯誤一樣。

這意味著，如果向這些頁面注如入一段腳本，將有可能在用戶的機器上執行這段代碼，GNUCITIZEN 的 PDP 說，可以使用 Airpwn Wifi 數據包注入漏洞 套用到該機制，我完全同意。

今天，CriticalSecurity 的 Miroslav Lu?inskij 向著名的安全組織 seclists.org （即著名的 insecure.org ，譯者注）發布了一個消息，說，他可以在 “Add video to chat” 對話中注入一個含跨站點腳本的 DailyMotion 網站的視頻鏈接，這里可以看到該過程的演示，他同時稱，事實上，該腳本應該叫做跨區域腳本，因為該腳本運行在 IE 的本地區域，而不是 Internet 區域。

憑借該機制，黑客可以上載一段視頻，并起一個誘惑人的名字（比如艷星希爾頓什么的），讓一些搜索希爾頓色情視頻的人上當。我已經在 Skype 最新版本，V3.6.0.244上測試過該漏洞，以前的版本應該也有該漏洞。在 Skype 發布安全補丁之前，建議不要在 Skype 上搜索視頻。 

本文國際來源：http://aviv.raffon.net/2008/01/17/SkypeCrosszoneScriptingVulnerability.aspx
由 COMSHARP CMS 的35公里翻譯并發表在銳商企業CMS官方站點 www.comsharp.com 上