一位德国的安全研究人员在一份报告中指出Windows操作系统上最新的Skype版本含有一个安全漏洞,它可以使攻击者将隐蔽的威胁代码注入电脑。
Kayan说跨站脚本(XSS),也就是Skype5.5.0.113中的漏洞可能导致IP电话的客户端被的电话号被恶意监视。入侵者可能能将这个漏洞注入入侵指令或者代码并强制机器运行。
Kayan在星期三发表的一份建议书中写道,一个入侵者可以注入HTML/JavaScript代码,虽然这还没被证实,但是它确实可能导致Cookies攻击或者操作系统攻击。攻击者也可能利用漏洞开发出外部网站上的远程恶意JavaScript程序完成攻击。我们已经将这一信息通过很多媒体告诉公众并已经证实其中的错误的存在。在给Register的邮件中,Kayan坚持自己的立场,认为这个漏洞最少可以导致入侵者在受害人客户端创建一个超链接并导向入侵者指定的网站。我想告诉人们Skype发言人所讲并不确切,因为在很多地方都有HTML嵌入。
Kayan说用户在浏览有捆绑的文件的时候,不安全的内容可能会夹杂其中。恶意程序可能在注入JavaScript命令或者一个电话号码向一个网址发起请求的时候被创建。这使人们想起Kayan上个月指出的Skype更早版本中的跨站脚本漏洞。