天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

黑客利用Skype软件漏洞攻击

2008-3-6塞迪网佚名

eBay的社交软件Skype里面包含的一个程序错误,给了网络罪犯们一个新途径,可以使他们将恶意软件隐蔽地安装在受害者们的PC机上。

这一漏洞由安全研究员Aviv Raff在周四报告出来,与Skype如何利用Windows网络浏览器组件打开超文本链接页面的使用方式息息相关。因为Skype公司并没有对它的软件进行严格的安全控制,因此一个攻击者可以以一种十分危险的方式,在受害者的系统中运行恶意脚本代码并且最终实施恶意软件的安装。

安全研究员Petko Petkov 在周四发表的一篇关于此事件的博客文章中写道,主要问题是Skype是在一种低锁定程度的本地安全模型设置下运行网络浏览器组件。正因为如此,攻击者可以做“各种各样的事情……比如,从本地磁盘中读取/写入文件和运行可执行文件。”

为了使攻击能够成功发生,那些坏人们会首先找到一个可信赖的网站,这个网站需包含一个普遍存在的被称为cross-zone scripting的程序漏洞。

这个漏洞会给他们一个欺骗Skype的方法,只要他们的脚本是来自这个可信赖的网站地址,Skype就会运行这个恶意脚本。

Raff在他的一篇博客文章里,通过视频向人们展示了Dailymotion.com网站上的cross-zone scripting漏洞是如何被利用,通过使用Skype软件的“添加视频来聊天”的特色功能来启动Windows里的计算程序的。

“用户们只需要简单地通过点击Skype软件里的‘添加视频来聊天’按钮来访问DailyMotion网站,就会失足碰触到包含cross-site scripting漏洞的病毒载体,”Petkov写道。

更为糟糕的是,攻击者们会使用被恶意编码的广告,对网站发起洪水般的攻击,以达到提高他们感染受害者可能性的目的,他说。“这种类型的攻击非常容易实施,而且几乎不需要任何准备就可以进行。”

Raff还提到,这个漏洞感染了最新版本的Skype软件-- 3.6.0.244版本。而老版本的软件也同样处在风险之中。“我建议大家停止通过Skype来搜索视频,直到Skype公司的人能够修复这一漏洞为止,”他写到。

Skype公司的代表还未立即对此发表任何评论。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:塞迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行