安全厂商Aviv Raff日前发现并演示了即时通讯软件Skype存在的安全漏洞,在特定情况下恶意代码可通过该漏洞运行。漏洞发生在Skype的网页控制部件,该部分使用IE浏览器运行内部或外部HTML,但运行时要把安全设置成"本地"。
据国外媒体报道,为了利用上述漏洞,恶意代码作者必须首先找到一个得到网民信任、但存在跨本地和远程区脚本错误的网站。类似的脚错误比较常见,假如能够能够获得更高的许可权,存在安全隐患的问题脚本就可以自由运行。类似脚本有非常广泛的应用(其中部分脚本很容易被安全软件发现,比如Vista的VAC),但绝大部分脚本可在安全软件及用户完全不知情的情况下运行。
安全研究人员佩特克佩特克夫表示,"一旦恶意脚本代码在本地运行,后果可能无法想像,比如随意读写本地磁盘数据,通过WSH原始设置运行可执行恶意代码等等。"一旦发生上述事件,恶意代码的传播风险很大,因为通常使用Skype进行视频搜索的网站,比如Dailymotion.com无法阻止跨网站脚本代码的运行,那么该网站的所有电影文件都可能包含上述脚本,尽管没有发现脚本被感染的视频内容。
目前存在上述安全漏洞的版本是Skype v.3.6.0.244,旧版本也可能存在。因此,为了防止该漏洞被恶意利用,用户目前最好不要通过Skype执行视频搜索。仅仅安装Skype软件,以及利用视频搜索以外的功能不会对系统造成安全威胁。