漏洞危害性過大 Skype被迫關閉視頻功能
1月24日消息,國外媒體報道,因為擔心黑客可能利用Skype視頻共享存在的安全漏洞發起自我複製攻擊,因此Skype被迫關閉了該功能。
安全研究人員Raff上週四披露了Skype存在的安全漏洞,當Skype通過IE部件運行HTML時該漏洞會出現。Skype的視頻共享功能可以讓用戶共享存放在Dailymotion.com 和Metacafe.com兩個站點的視頻內容,共享內容時還可以與其它好友正常聊天。
本週二,Skype已經從該客戶端軟件中取消了視頻功能,用戶在點擊聊天窗口下的視頻按鈕時,系統回覆信息稱「由於安全原因」該功能暫時不可用,信息還稱「我們的工程師正在全力解決這一問題,對您帶來不便我們感到非常抱歉。」
Skype公司代表沒有對上述消息發表評論。上周,Skpe公司發言人維盧·阿拉克證實,在登錄Dailymotion.com網站時,Skype 3.5 和3.6兩個版本的確存在安全問題,不過用戶可通過Metacafe.com網站正常共享視頻。但Raff表示,本週二在得知安全隱患後,Skype公司臨時將全部視頻功能取消。
Raff表示,Metacafe網站存在一個交互腳本漏洞,這也是一個普通的編程錯誤,但Raff可以通過該漏洞在Metacafe.com上運行JavaScript腳本,這說明該漏洞完全可能被攻擊者利用來運行惡意程序。攻擊者可以通過被控制的電腦向該用戶的所有Skype好友發送指向惡意網站的鏈接。
上周,Raff公開演示了攻擊者如何利用Skype存在的安全漏洞來運行惡意程序的過程,本週二,Raff進一步表示,該安全漏洞可能導致的後果遠遠要比他當初想到的嚴重。Raff在博客中表示:「用戶一不留神就可能中招,比如訪問一個問題網站,或點擊即時信息傳來的網站鏈接等。」
在Raff的攻擊演示中,攻擊者首先必須向Metacafe 和Dailymotion網站其中之一發佈經過惡意編輯的視頻文件然而Metacafe 網站本週二卻表示,惡意攻擊者突破該網站的內容過濾發佈包括惡意代碼視頻文件的事「幾乎不可能」。Metacafe公司在聲明中表示,Skype用戶最早可能於本周早晨正常使用Metacafe的視頻內容。
Raff表示,由於惡意攻擊有可能導致大範圍的蠕蟲暴發,因此Skype最好應在問題解決之後再開通Metacafe服務。
Raff表示相信Dailymotion網站也可能會受到類似攻擊,但由於Skype已切斷了與該網站的連接,所以目前無法證實。安全研究人員表示,問題主要出在Skype用戶使用的IE部件的設置有存在不當之處。本來在運行網頁是設置較為安全的「互聯網域」級別,但Skype用戶卻使用了IE的「本地域」設置,該設置通常用於運行信任度較高的內容。
