|
|
|
 |
|
Skype 驚現跨區域腳本漏洞 IE成幫兇
|
|
來源:中關村在線 2008-01-21 10:25:59
|
|
Skype 使用 IE 控件顯示其 HTML 頁面內容,最典型的例子是,“Send money via Paypal” 對話,或者 “Add video to chat” 對話。最近,我發現,Skype 竟然以本地區域(Local Zone)運行其 IE 控件,更大問題是,Skype 將 HTML 頁面運行在非鎖定狀態的本地區域,和 AOL 即時通訊曾經犯的錯誤一樣。 這意味著,如果向這些頁面注如入一段腳本,將有可能在用戶的機器上執行這段代碼,GNUCITIZEN 的 PDP 說,可以使用 Airpwn Wifi 數據包注入漏洞套用到該機制,我完全同意。 今天,CriticalSecurity 的 Miroslav Luinskij 向著名的安全組織 seclists.org (即著名的 insecure.org ,譯者注)發布了一個消息,說,他可以在 “Add video to chat” 對話中注入一個含跨站點腳本的 DailyMotion 網站的視頻鏈接,這里可以看到該過程的演示,他同時稱,事實上,該腳本應該叫做跨區域腳本,因為該腳本運行在 IE 的本地區域,而不是 Internet 區域。 憑借該機制,黑客可以上載一段視頻,并起一個誘惑人的名字(比如艷星希爾頓什么的),讓一些搜索希爾頓色情視頻的人上當。我已經在 Skype 最新版本,V3.6.0.244上測試過該漏洞,以前的版本應該也有該漏洞。在 Skype 發布安全補丁之前,建議不要在 Skype 上搜索視頻。
|
