居住在德國(guó)柏林的互聯(lián)網(wǎng)安全專(zhuān)家萊文特·卡揚(yáng)(Levent Kayan)周三在其個(gè)人博客中公布了他所發(fā)現(xiàn)Skype安全漏洞的技術(shù)詳情，隨后就此事通知了Skype?？〒P(yáng)稱，截至周五，他還沒(méi)有收到Skype的任何回復(fù)。

卡揚(yáng)表示，Skype這個(gè)安全漏洞源于跨網(wǎng)站代碼錯(cuò)誤，即用戶在使用Skype服務(wù)之前，必須首先輸入手機(jī)號(hào)碼和密碼。而利用Skype的這個(gè)安全漏洞，惡意攻擊者可在要求用戶輸入手機(jī)號(hào)碼的區(qū)域插入JavaScript代碼。

如此一來(lái)，惡意攻擊者其他聯(lián)系人上線后，相應(yīng)JavaScript代碼將被自動(dòng)執(zhí)行，惡意攻擊者將可查看該聯(lián)系人的登錄信息，并有可能通過(guò)該方式劫持該聯(lián)系人的電腦，同時(shí)可借此更改Skype用戶帳號(hào)的密碼。

卡 揚(yáng)指出，惡意攻擊者要實(shí)現(xiàn)上述攻擊，首先需滿足一些條件，如攻擊者和被攻擊者在Skype中必須為好友關(guān)系。他還表示，當(dāng)某位聯(lián)系人首次登錄時(shí)，上述攻擊 或許無(wú)法立即實(shí)施。多數(shù)情況下，被攻擊者需登錄數(shù)次后，攻擊者才能完成攻擊過(guò)程。但卡揚(yáng)指出，曾發(fā)現(xiàn)聯(lián)系人登錄一次后就被攻擊的情況。

卡揚(yáng) 建議，Skype應(yīng)該對(duì)用戶輸入手機(jī)號(hào)碼區(qū)域進(jìn)入檢查，以確保該區(qū)域不被插入可執(zhí)行代碼。他表示，該漏洞存在于Skype最新5.3.0.120版本當(dāng) 中，Windows XP、Vista、 Windows 7 及Mac OS X等操作系統(tǒng)用戶皆受到影響。

對(duì)于卡揚(yáng)曝出的上述安全漏洞，Skype尚未發(fā)表評(píng)論。

微軟今年5月宣布，將以85億美元收購(gòu)Skype。該交易此前已得到美國(guó)監(jiān)管部門(mén)的批準(zhǔn)，歐盟仍在對(duì)此展開(kāi)反壟斷調(diào)查。

【編輯推薦】

1. 著名女黑客克大贊微軟在安全方面的進(jìn)步
2. 大量黑客被招募 專(zhuān)門(mén)從事美國(guó)信息安全項(xiàng)目
3. 如何應(yīng)對(duì)層出不窮的虛擬化安全問(wèn)題？
4. 承載的不僅是安全 SOC迎接新網(wǎng)絡(luò)時(shí)代
5. 一個(gè)網(wǎng)絡(luò)安全從業(yè)者講述十年工作感悟