东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

skype 惊现跨区域脚本漏洞 ie成帮凶
来源:  2008-01-21 10:25:59

  skype 使用 ie 控件显示其 html 页面内容,最典型的例子是,“send money via paypal” 对话,或者 “add video to chat” 对话。最近,我发现,skype 竟然以本地区域(local zone)运行其 ie 控件,更大问题是,skype 将 html 页面运行在非锁定状态的本地区域,和 aol 即时通讯曾经犯的错误一样。

     这意味着,如果向这些页面注如入一段脚本,将有可能在用户的机器上执行这段代码,gnucitizen 的 pdp 说,可以使用 airpwn wifi 数据包注入漏洞套用到该机制,我完全同意。

     今天,criticalsecurity 的 miroslav luinskij 向著名的安全组织 seclists.org (即著名的 insecure.org ,译者注)发布了一个消息,说,他可以在 “add video to chat” 对话中注入一个含跨站点脚本的 dailymotion 网站的视频链接,这里可以看到该过程的演示,他同时称,事实上,该脚本应该叫做跨区域脚本,因为该脚本运行在 ie 的本地区域,而不是 internet 区域。

     凭借该机制,黑客可以上载一段视频,并起一个诱惑人的名字(比如艳星希尔顿什么的),让一些搜索希尔顿色情视频的人上当。我已经在 skype 最新版本,v3.6.0.244上测试过该漏洞,以前的版本应该也有该漏洞。在 skype 发布安全补丁之前,建议不要在 skype 上搜索视频。 

 

免费体验
下  载

网站地图