Skype存“重大安全漏洞”

安全
国外媒体报道,德国一名安全专家周三在网上公布了网络电话服务软件Skype存在的一个“重大安全漏洞”,称恶意攻击者可借此劫持用户密码。

居住在德国柏林的互联网安全专家莱文特·卡扬(Levent Kayan)周三在其个人博客中公布了他所发现Skype安全漏洞的技术详情,随后就此事通知了Skype。卡扬称,截至周五,他还没有收到Skype的任何回复。

卡扬表示,Skype这个安全漏洞源于跨网站代码错误,即用户在使用Skype服务之前,必须首先输入手机号码和密码。而利用Skype的这个安全漏洞,恶意攻击者可在要求用户输入手机号码的区域插入JavaScript代码。

如此一来,恶意攻击者其他联系人上线后,相应JavaScript代码将被自动执行,恶意攻击者将可查看该联系人的登录信息,并有可能通过该方式劫持该联系人的电脑,同时可借此更改Skype用户帐号的密码。

卡 扬指出,恶意攻击者要实现上述攻击,首先需满足一些条件,如攻击者和被攻击者在Skype中必须为好友关系。他还表示,当某位联系人首次登录时,上述攻击 或许无法立即实施。多数情况下,被攻击者需登录数次后,攻击者才能完成攻击过程。但卡扬指出,曾发现联系人登录一次后就被攻击的情况。

卡扬 建议,Skype应该对用户输入手机号码区域进入检查,以确保该区域不被插入可执行代码。他表示,该漏洞存在于Skype最新5.3.0.120版本当 中,Windows XP、Vista、 Windows 7 及Mac OS X等操作系统用户皆受到影响。

对于卡扬曝出的上述安全漏洞,Skype尚未发表评论。

微软今年5月宣布,将以85亿美元收购Skype。该交易此前已得到美国监管部门的批准,欧盟仍在对此展开反垄断调查。

 

【编辑推荐】

  1. 著名女黑客克大赞微软在安全方面的进步
  2. 大量黑客被招募 专门从事美国信息安全项目
  3. 如何应对层出不穷的虚拟化安全问题?
  4. 承载的不仅是安全 SOC迎接新网络时代
  5. 一个网络安全从业者讲述十年工作感悟
责任编辑:Writer 来源: www.infosec.org.cn
相关推荐

2013-10-12 10:39:49

2013-11-06 13:45:55

搜狗浏览器安全漏洞

2013-11-06 09:34:20

浏览器搜狗

2013-07-31 15:44:51

2016-02-17 16:04:42

2018-05-10 08:40:15

Windows Linux 漏洞

2014-07-30 10:29:12

Android系统

2018-01-25 15:19:42

2014-02-25 15:12:07

2014-12-24 12:34:48

2009-10-10 17:40:34

2013-11-05 16:32:18

搜狗浏览器安全漏洞

2015-08-28 10:45:25

2009-02-19 13:12:10

劲舞团漏洞久游网

2014-07-30 10:18:51

Android

2022-12-29 07:40:58

2021-12-20 09:32:55

Log4j2漏洞攻击

2013-08-29 15:24:36

2020-07-15 10:05:47

微软浏览器Windows

2022-02-17 20:45:47

VMware
点赞
收藏

51CTO技术栈公众号