研究者再次發(fā)現(xiàn)Skype漏洞 黑客可惡意更改密碼

7月16日消息，據(jù)國外媒體報(bào)道，日前一位安全顧問發(fā)現(xiàn)Skype存在跨站腳本攻擊漏洞，黑客可能利用該漏洞更改帳戶密碼等，官方的答復(fù)是會(huì)在下周解決該問題。

這位名為Levent Kayan的顧問來自柏林，他于周三在自己的博客上公布了該漏洞的細(xì)節(jié)，之后周四通知Skype，周五他表示還沒有收到來自Skype的回復(fù)。問題主要出在輸入個(gè)人移動(dòng)電話號(hào)碼的地方，Kayan指出惡意用戶可以在個(gè)人帳戶的該部分插入Java腳本。一旦聯(lián)絡(luò)簿中有人上線，惡意用戶帳戶就會(huì)更新，該Java腳本將會(huì)在其他聯(lián)絡(luò)人登陸時(shí)執(zhí)行，其他人就會(huì)被入侵，甚至控制其個(gè)人電腦，還可以更改其個(gè)人帳戶的密碼。

不過要實(shí)現(xiàn)入侵需要符合一些條件，比如攻擊者和受害者需要是Skype上的朋友，攻擊只有在受害者登陸時(shí)才會(huì)執(zhí)行。Kayan表示他發(fā)現(xiàn)攻擊只會(huì)在受害者登陸后發(fā)生幾次，但一旦成功后，每次登陸都會(huì)被入侵。

Skype需要檢查手機(jī)輸入?yún)^(qū)，并驗(yàn)證是否確實(shí)需要手機(jī)號(hào)碼，同時(shí)不包含可執(zhí)行代碼。該問題能影響到的是Mac OS X、Windows XP、Vista和7上的Skype 5.3.0.120。

Skype 并不贊同Kayan做出的問題描述，認(rèn)為沒有那么嚴(yán)重。Skype首席信息安全官員Adrian Asher在一項(xiàng)聲明中強(qiáng)調(diào)，“事實(shí)上是系統(tǒng)允許在你的常用聯(lián)系人窗口顯示信息或鏈接到Skype主頁上的網(wǎng)站。要達(dá)到該目的這個(gè)人要通過驗(yàn)證，并且是你的常用聯(lián)絡(luò)人，現(xiàn)實(shí)中也不會(huì)造成什么麻煩。”