日前一位来自柏林，名为Levent Kayan的安全顾问发现Skype存在跨站脚本攻击漏洞，黑客可能利用该漏洞更改帐户密码等，他于周三在自己的博客上公布了该漏洞的细节，之后周四通知Skype，官方的答复是会在下周解决该问题。

    问题主要出在输入个人移动电话号码的地方，Kayan指出恶意用户可以在个人帐户的该部分插入Java脚本。一旦联络簿中有人上线，恶意用户帐户就会更新，该Java脚本将会在其他联络人登陆时执行，其他人就会被入侵，甚至控制其个人电脑，还可以更改其个人帐户的密码。

    不过要实现入侵需要符合一些条件，比如攻击者和受害者需要是Skype上的朋友，攻击只有在受害者登陆时才会执行。Kayan表示他发现攻击只会在受害者登陆后发生几次，但一旦成功后，每次登陆都会被入侵。

    Skype需要检查手机输入区，并验证是否确实需要手机号码，同时不包含可执行代码。该问题能影响到的是Mac OS X、Windows XP、Vista和7上的Skype 5.3.0.120。

    Skype 并不赞同Kayan做出的问题描述，认为没有那么严重。Skype首席信息安全官员Adrian Asher在一项声明中强调，“事实上是系统允许在你的常用联系人窗口显示信息或链接到Skype主页上的网站。要达到该目的这个人要通过验证，并且是你的常用联络人，现实中也不会造成什么麻烦。”

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。