注册
登录
| 关键词: 脚本 区域 Skype 希尔顿 漏洞 视频 对话 运行 页面 一个 |
Skype使用IE控件显示其HTML页面内容,最典型的例子是,“Send money via Paypal”对话,或者“Add video to chat”对话。最近,我发现,Skype竟然以本地区域(Local Zone)运行其IE控件,更大问题是,Skype将 HTML页面运行在非锁定状态的本地区域,和AOL即时通讯曾经犯的错误一样。 这意味着,如果向这些页面注如入一段脚本,将有可能在用户的机器上执行这段代码,GNUCITIZEN的 PDP说,可以使用Airpwn Wifi数据包注入漏洞套用到该机制,我完全同意。 今天,CriticalSecurity的 Miroslav Luinskij向著名的安全组织seclists.org (即著名的insecure.org ,译者注)发布了一个消息,说,他可以在“Add video to chat”对话中注入一个含跨站点脚本的DailyMotion网站的视频链接,这里可以看到该过程的演示,他同时称,事实上,该脚本应该叫做跨区域脚本,因为该脚本运行在IE的本地区域,而不是Internet区域。 凭借该机制,黑客可以上载一段视频,并起一个诱惑人的名字(比如艳星希尔顿什么的),让一些搜索希尔顿色情视频的人上当。我已经在Skype最新版本,V3.6.0.244上测试过该漏洞,以前的版本应该也有该漏洞。在Skype发布安全补丁之前,建议不要在Skype上搜索视频。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
