蠕蟲將大面積爆發(fā) Skype被迫關(guān)閉功能
嘯風(fēng) 2008/01/24
安全研究人員22日表示,因為擔(dān)心黑客可能利用Skype視頻共享存在的安全漏洞發(fā)起自我復(fù)制攻擊,因此Skype被迫關(guān)閉了該功能。
據(jù)國外媒體報道�,安全研究人員AvivRaff最早于上周四披露了Skype存在的安全漏洞�����,當(dāng)Skype通過IE部件運行HTML時該漏洞會出現(xiàn)�。
Skype的視頻共享功能可以讓用戶共享存放在Dailymotion.com和Metacafe.com兩個站點的視頻內(nèi)容�����,共享內(nèi)容時還可以與其它好友正常聊天�����。
上周�,Raff公開演示了攻擊者如何利用Skype存在的安全漏洞來運行惡意程序的過程,本周二�����,Raff進(jìn)一步表示�,該安全漏洞可能導(dǎo)致的后果遠(yuǎn)遠(yuǎn)要比他當(dāng)初想到的嚴(yán)重。Raff在博客中表示:“用戶一不留神就可能中招�,比如訪問一個問題網(wǎng)站,或點擊即時信息傳來的網(wǎng)站鏈接等�。”
本周二�����,Skype已經(jīng)從該客戶端軟件中取消了視頻功能�,用戶在點擊聊天窗口下的視頻按鈕時,系統(tǒng)回復(fù)信息稱“由于安全原因”該功能暫時不可用�����,信息還稱“我們的工程師正在全力解決這一問題�,對您帶來不便我們感到非常抱歉����������!
Skype公司代表沒有對上述消息發(fā)表評論�����。上周�,Skpe公司發(fā)言人維盧·阿拉克證實�����,在登錄Dailymotion.com網(wǎng)站時�����, Skype3.5和3.6兩個版本的確存在安全問題�����,不過用戶可通過Metacafe.com網(wǎng)站正常共享視頻�。但Raff表示�����,本周二在得知安全隱患后,Skype公司臨時將全部視頻功能取消�����。
Raff表示�����,Metacafe網(wǎng)站存在一個交互腳本漏洞�,這也是一個普通的編程錯誤,但Raff可以通過該漏洞在Metacafe.com上運行t腳本�����,這說明該漏洞完全可能被攻擊者利用來運行惡意程序�����。攻擊者可以通過被控制的電腦向該用戶的所有Skype好友發(fā)送指向惡意網(wǎng)站的鏈接�。
在Raff的攻擊演示中,攻擊者首先必須向Metacafe和 Dailymotion網(wǎng)站其中之一發(fā)布經(jīng)過惡意編輯的視頻文件然而Metacafe網(wǎng)站本周二卻表示�����,惡意攻擊者突破該網(wǎng)站的內(nèi)容過濾發(fā)布包括惡意代碼視頻文件的事“幾乎不可能”。Metacafe公司在聲明中表示�����,Skype用戶最早可能于本周早晨正常使用Metacafe的視頻內(nèi)容�。
Raff表示,由于惡意攻擊有可能導(dǎo)致大范圍的蠕蟲暴發(fā)�����,因此Skype最好應(yīng)在問題解決之后再開通Metacafe服務(wù)�����。
Raff表示相信Dailymotion網(wǎng)站也可能會受到類似攻擊�,但由于Skype已切斷了與該網(wǎng)站的連接,所以目前無法證實�。安全研究人員表示,問題主要出在Skype用戶使用的IE部件的設(shè)置有存在不當(dāng)之處�����。本來在運行網(wǎng)頁是設(shè)置較為安全的“互聯(lián)網(wǎng)域”級別�,但Skype用戶卻使用了IE的“本地域”設(shè)置�����,該設(shè)置通常用于運行信任度較高的內(nèi)容�����。
賽迪網(wǎng)中國信息化(industry.ccidnet.com)
相關(guān)鏈接:
阿城市|
龙州县|
寿光市|
运城市|
靖安县|
巴彦淖尔市|
西峡县|
林甸县|
仁化县|
正阳县|
安达市|
宁城县|
松桃|
东城区|
齐齐哈尔市|
多伦县|
工布江达县|
驻马店市|
蕉岭县|
上蔡县|
陈巴尔虎旗|
永宁县|
舟曲县|
蕉岭县|
阜城县|
广元市|
安庆市|
绥阳县|
准格尔旗|
高唐县|
肇源县|
东明县|
南城县|
泸西县|
台江县|
康保县|
平遥县|
唐山市|
晋州市|
囊谦县|
镇远县|