据安全研究人员Aviv Raff透露,他已经发现并证明了Skype软件存在的一个系统漏洞。透过Skype的内部漏洞,将允许在某些情况下运行恶意代码。该问题的产生是由于Skype的网络控制功能造成的,该程序使用IE浏览器浏览内部和外部HTML代码,并且使用“本地”安全设定。
实际上利用该bug,恶意软件的作者需要找到或建立一个存在跨区域脚本错误的站点,在互联网上存在这种类型错误的站点还是比较普遍的。
据Aviv Raff表示,“当某一特定网络资源符合本地安全设定的范畴,那么将可以实现本地磁盘读写操作,或是执行任何可执行文件”。而且这种情况是很有可能发生的,例如Skype内置了视频搜索功能(dailymotion.com),用户将很容易受到跨站点脚本文件攻击。虽然到目前为止还没有这样的站点存在。
这个bug影响到的版本是Skype 3.6.0.244,并可能影响到旧版本的客户端软件。该问题的解决方法是,避免使用Skype内置的视频搜索功能,仅使用电话功能不会暴露系统的潜在危险。
