Aviv Raff 在他的個人網站(
http://aviv.raffon.net )中公佈了一個最新發現的腳本漏洞,讓惡意代碼在點擊了 Skype 上的鏈接後執行,以下為他的文章。
Skype 使用 IE 控件顯示其 HTML 頁面內容,最典型的例子是,「Send money via Paypal」 對話,或者 「Add video to chat」 對話。最近,我發現,Skype 竟然以本地區域(Local Zone)運行其 IE 控件,更大問題是,Skype 將 HTML 頁面運行在非鎖定狀態的本地區域,和 AOL 即時通訊曾經犯的錯誤一樣。
這意味著,如果向這些頁面注如入一段腳本,將有可能在用戶的機器上執行這段代碼,GNUCITIZEN 的 PDP 說,可以使用 Airpwn Wifi 數據包注入漏洞 套用到該機制,我完全同意。
今天,CriticalSecurity 的 Miroslav Lu?inskij 向著名的安全組織 seclists.org (即著名的 insecure.org ,譯者注)發佈了一個消息,說,他可以在 「Add video to chat」 對話中注入一個含跨站點腳本的 DailyMotion 網站的視頻鏈接,這裡可以看到該過程的演示,他同時稱,事實上,該腳本應該叫做跨區域腳本,因為該腳本運行在 IE 的本地區域,而不是 Internet 區域。
憑借該機制,黑客可以上載一段視頻,並起一個誘惑人的名字(比如艷星希爾頓什麼的),讓一些搜索希爾頓色情視頻的人上當。我已經在 Skype 最新版本,V3.6.0.244上測試過該漏洞,以前的版本應該也有該漏洞。在 Skype 發佈安全補丁之前,建議不要在 Skype 上搜索視頻。
