研究者再次發(fā)現(xiàn)Skype漏洞 黑客可惡意更改密碼
7月16日消息,據(jù)國外媒體報(bào)道,日前一位安全顧問發(fā)現(xiàn)Skype存在跨站腳本攻擊漏洞,黑客可能利用該漏洞更改帳戶密碼等,官方的答復(fù)是會(huì)在下周解決該問題。
這位名為Levent Kayan的顧問來自柏林,他于周三在自己的博客上公布了該漏洞的細(xì)節(jié),之后周四通知Skype,周五他表示還沒有收到來自Skype的回復(fù)。問題主要出在輸入個(gè)人移動(dòng)電話號(hào)碼的地方,Kayan指出惡意用戶可以在個(gè)人帳戶的該部分插入Java腳本。一旦聯(lián)絡(luò)簿中有人上線,惡意用戶帳戶就會(huì)更新,該Java腳本將會(huì)在其他聯(lián)絡(luò)人登陸時(shí)執(zhí)行,其他人就會(huì)被入侵,甚至控制其個(gè)人電腦,還可以更改其個(gè)人帳戶的密碼。
不過要實(shí)現(xiàn)入侵需要符合一些條件,比如攻擊者和受害者需要是Skype上的朋友,攻擊只有在受害者登陸時(shí)才會(huì)執(zhí)行。Kayan表示他發(fā)現(xiàn)攻擊只會(huì)在受害者登陸后發(fā)生幾次,但一旦成功后,每次登陸都會(huì)被入侵。
Skype需要檢查手機(jī)輸入?yún)^(qū),并驗(yàn)證是否確實(shí)需要手機(jī)號(hào)碼,同時(shí)不包含可執(zhí)行代碼。該問題能影響到的是Mac OS X、Windows XP、Vista和7上的Skype 5.3.0.120。
Skype 并不贊同Kayan做出的問題描述,認(rèn)為沒有那么嚴(yán)重。Skype首席信息安全官員Adrian Asher在一項(xiàng)聲明中強(qiáng)調(diào),“事實(shí)上是系統(tǒng)允許在你的常用聯(lián)系人窗口顯示信息或鏈接到Skype主頁上的網(wǎng)站。要達(dá)到該目的這個(gè)人要通過驗(yàn)證,并且是你的常用聯(lián)絡(luò)人,現(xiàn)實(shí)中也不會(huì)造成什么麻煩。”