安全研究人员本周二表示,因为担心黑客可能利用Skype视频共享存在的安全漏洞发起自我复制攻击,因此Skype被迫关闭了该功能.
据国外媒体报道,安全研究人员Aviv Raff最早于上周四披露了Skype存在的安全漏洞,当Skype通过IE部件运行HTML时该漏洞会出现.Skype的视频共享功能可以让用户共享存 放在Dailymotion.com 和Metacafe.com两个站点的视频内容,共享内容时还可以与其它好友正常聊天.
上周,Raff公开演示了攻击者如何利用Skype存在的安全漏洞来运行恶意程序的过程,本周二,Raff进一步表示,该安全漏洞可能导致的后果远远要比他当初想到的严重.Raff在博客中表示:“用户一不留神就可能中招,比如访问一个问题网站,或点击即时信息传来的网站链接等.”
本周二,Skype已经从该客户端软件中取消了视频功能,用户在点击聊天窗口下的视频按钮时,系统回复信息称“由于安全原因”该功能暂时不可用,信息还称“我们的工程师正在全力解决这一问题,对您带来不便我们感到非常抱歉.”
Skype公司代表没有对上述消息发表评论.上周,Skpe公司发言人维卢·阿拉克证实,在登录Dailymotion.com网站时,Skype 3.5 和3.6两个版本的确存在安全问题,不过用户可通过Metacafe.com网站正常共享视频.但Raff表示,本周二在得知安全隐患后,Skype公司临时将全部视频功能取消.
Raff表示,Metacafe网站存在一个交互脚本漏洞,这也是一个普通的编程错误,但Raff可以通过该漏洞在Metacafe.com上运行JavaScript脚本,这说明该漏洞完全可能被攻击者利用来运行恶意程序.攻击者可以通过被控制的电脑向该用户的所有Skype好友发送指向恶意网站的链接.
在Raff的攻击演示中,攻击者首先必须向Metacafe 和Dailymotion网站其中之一发布经过恶意编辑的视频文件然而Metacafe 网站本周二却表示,恶意攻击者突破该网站的内容过滤发布包括恶意代码视频文件的事“几乎不可能”.Metacafe公司在声明中表示,Skype用户最早可能于本周早晨正常使用Metacafe的视频内容.
Raff表示,由于恶意攻击有可能导致大范围的蠕虫暴发,因此Skype最好应在问题解决之后再开通Metacafe服务.
Raff表示相信Dailymotion网站也可能会受到类似攻击,但由于 Skype已切断了与该网站的连接,所以目前无法证实.安全研究人员表示,问题主要出在Skype用户使用的IE部件的设置有存在不当之处.本来在运行网页是设置较为安全的“互联网域”级别,但Skype用户却使用了IE的“本地域”设置,该设置通常用于运行信任度较高的内容.
