7月16日消息,据国外媒体报道,日前一位安全顾问发现Skype存在跨站脚本攻击漏洞,黑客可能利用该漏洞更改帐户密码等,官方的答复是会在下周解决该问题。
这位名为Levent Kayan的顾问来自柏林,他于周三在自己的博客上公布了该漏洞的细节,之后周四通知Skype,周五他表示还没有收到来自Skype的回复。问题主要出在输入个人移动电话号码的地方,Kayan指出恶意用户可以在个人帐户的该部分插入Java脚本。一旦联络簿中有人上线,恶意用户帐户就会更新,该Java脚本将会在其他联络人登陆时执行,其他人就会被入侵,甚至控制其个人电脑,还可以更改其个人帐户的密码。
不过要实现入侵需要符合一些条件,比如攻击者和受害者需要是Skype上的朋友,攻击只有在受害者登陆时才会执行。Kayan表示他发现攻击只会在受害者登陆后发生几次,但一旦成功后,每次登陆都会被入侵。
Skype需要检查手机输入区,并验证是否确实需要手机号码,同时不包含可执行代码。该问题能影响到的是Mac OS X、Windows XP、Vista和7上的Skype 5.3.0.120。
Skype 并不赞同Kayan做出的问题描述,认为没有那么严重。Skype首席信息安全官员Adrian Asher在一项声明中强调,“事实上是系统允许在你的常用联系人窗口显示信息或链接到Skype主页上的网站。要达到该目的这个人要通过验证,并且是你的常用联络人,现实中也不会造成什么麻烦。”
