黑客利用 Skype 軟體漏洞將視頻變為武器

【原創翻譯，版權所有，合作網站如欲轉載，請註明原創翻譯作者「劉亞萌」，及文章出處（賽迪網）。謝絕非合作網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

eBay的社交軟體Skype裡面包含的一個程序錯誤，給了網絡罪犯們一個新途徑，可以使他們將惡意軟體隱蔽地安裝在受害者們的PC機上。

這一漏洞由安全研究員Aviv Raff在週四報告出來，與Skype如何利用Windows網絡瀏覽器組件打開超文本鏈接頁面的使用方式息息相關。因為Skype公司並沒有對它的軟體進行嚴格的安全控制，因此一個攻擊者可以以一種十分危險的方式，在受害者的系統中運行惡意腳本代碼並且最終實施惡意軟體的安裝。

安全研究員Petko Petkov 在週四發表的一篇關於此事件的博客文章中寫道，主要問題是Skype是在一種低鎖定程度的本地安全模型設置下運行網絡瀏覽器組件。正因為如此，攻擊者可以做「各種各樣的事情……比如，從本地硬碟中讀取/寫入文件和運行可執行文件。」

為了使攻擊能夠成功發生，那些壞人們會首先找到一個可信賴的網站，這個網站需包含一個普遍存在的被稱為cross-zone scripting的程序漏洞。

這個漏洞會給他們一個欺騙Skype的方法，只要他們的腳本是來自這個可信賴的網站地址，Skype就會運行這個惡意腳本。

Raff在他的一篇博客文章裡，通過視頻向人們展示了Dailymotion.com網站上的cross-zone scripting漏洞是如何被利用，通過使用Skype軟體的「添加視頻來聊天」的特色功能來啟動Windows裡的計算程序的。

「用戶們只需要簡單地通過點擊Skype軟體裡的『添加視頻來聊天』按鈕來訪問DailyMotion網站，就會失足碰觸到包含cross-site scripting漏洞的病毒載體，」Petkov寫道。

更為糟糕的是，攻擊者們會使用被惡意編碼的廣告，對網站發起洪水般的攻擊，以達到提高他們感染受害者可能性的目的，他說。「這種類型的攻擊非常容易實施，而且幾乎不需要任何準備就可以進行。」

Raff還提到，這個漏洞感染了最新版本的Skype軟體-- 3.6.0.244版本。而老版本的軟體也同樣處在風險之中。「我建議大家停止通過Skype來搜索視頻，直到Skype公司的人能夠修復這一漏洞為止，」他寫到。

Skype公司的代表還未立即對此發表任何評論。

(