首頁>>廠商>>VoIP設備廠商>>skype

蠕蟲將大面積爆發(fā) Skype被迫關閉功能

嘯風 2008/01/24

  安全研究人員22日表示,因為擔心黑客可能利用Skype視頻共享存在的安全漏洞發(fā)起自我復制攻擊,因此Skype被迫關閉了該功能。

  據國外媒體報道,安全研究人員AvivRaff最早于上周四披露了Skype存在的安全漏洞,當Skype通過IE部件運行HTML時該漏洞會出現。

  Skype的視頻共享功能可以讓用戶共享存放在Dailymotion.com和Metacafe.com兩個站點的視頻內容,共享內容時還可以與其它好友正常聊天。

  上周,Raff公開演示了攻擊者如何利用Skype存在的安全漏洞來運行惡意程序的過程,本周二,Raff進一步表示,該安全漏洞可能導致的后果遠遠要比他當初想到的嚴重。Raff在博客中表示:“用戶一不留神就可能中招,比如訪問一個問題網站,或點擊即時信息傳來的網站鏈接等!

  本周二,Skype已經從該客戶端軟件中取消了視頻功能,用戶在點擊聊天窗口下的視頻按鈕時,系統(tǒng)回復信息稱“由于安全原因”該功能暫時不可用,信息還稱“我們的工程師正在全力解決這一問題,對您帶來不便我們感到非常抱歉!

  Skype公司代表沒有對上述消息發(fā)表評論。上周,Skpe公司發(fā)言人維盧·阿拉克證實,在登錄Dailymotion.com網站時, Skype3.5和3.6兩個版本的確存在安全問題,不過用戶可通過Metacafe.com網站正常共享視頻。但Raff表示,本周二在得知安全隱患后,Skype公司臨時將全部視頻功能取消。

  Raff表示,Metacafe網站存在一個交互腳本漏洞,這也是一個普通的編程錯誤,但Raff可以通過該漏洞在Metacafe.com上運行t腳本,這說明該漏洞完全可能被攻擊者利用來運行惡意程序。攻擊者可以通過被控制的電腦向該用戶的所有Skype好友發(fā)送指向惡意網站的鏈接。

  在Raff的攻擊演示中,攻擊者首先必須向Metacafe和 Dailymotion網站其中之一發(fā)布經過惡意編輯的視頻文件然而Metacafe網站本周二卻表示,惡意攻擊者突破該網站的內容過濾發(fā)布包括惡意代碼視頻文件的事“幾乎不可能”。Metacafe公司在聲明中表示,Skype用戶最早可能于本周早晨正常使用Metacafe的視頻內容。

  Raff表示,由于惡意攻擊有可能導致大范圍的蠕蟲暴發(fā),因此Skype最好應在問題解決之后再開通Metacafe服務。

  Raff表示相信Dailymotion網站也可能會受到類似攻擊,但由于Skype已切斷了與該網站的連接,所以目前無法證實。安全研究人員表示,問題主要出在Skype用戶使用的IE部件的設置有存在不當之處。本來在運行網頁是設置較為安全的“互聯網域”級別,但Skype用戶卻使用了IE的“本地域”設置,該設置通常用于運行信任度較高的內容。

賽迪網中國信息化(industry.ccidnet.com)


相關鏈接:
eBay:Skype交易即將完成 不受訴訟影響 2009-09-24
skype取消“一國通”套餐 用戶電話資費猛漲 2009-09-18
Skype難獲技術控制權 前途未卜 2009-09-07
eBay以20億美元出售網絡電話 2009-09-03
賽門鐵克發(fā)現可竊聽Skype通訊木馬 2009-09-01

分類信息:     技術_即時通信_新聞