Skype 惊现跨区域(Cross-Zone Scripting)脚本

互联网  /  houtizong 发布于 2年前   131
35公里 写道 "Aviv Raff 在他的个人网站中公布了一个最新发现的脚本漏洞,在点击了 Skype 上的链接后恶意代码就会执行,以下为他的文章:“Skype 使用 IE 控件显示其 HTML 页面内容,最典型的例子是,“Send money via Paypal” 对话,或者 “Add video to chat” 对话。最近,我发现,Skype 竟然以本地区域(Local Zone)运行其 IE 控件,更大问题是,Skype 将 HTML 页面运行在非锁定状态的本地区域,和 AOL 即时通讯曾经犯的错误一样。这意味着,如果向这些页面注入一段脚本,将有可能在用户的机器上执行这段代码,GNUCITIZENPDP 说,可以使用 Airpwn Wifi 数据包注入漏洞套用到该机制,我完全同意。” 今天,CriticalSecurityMiroslav Lučinskij 向著名的安全组织 seclists.org (即著名的 insecure.org ,译者注)发布了一个消息,说,他可以在 “Add video to chat” 对话中注入一个含跨站点脚本的 DailyMotion 网站的视频链接,这里可以看到该过程的演示,他同时称,事实上,该脚本应该叫做跨区域脚本,因为该脚本运行在 IE 的本地区域,而不是 Internet 区域。

凭借该机制,黑客可以上载一段视频,并起一个诱惑人的名字(比如帕丽斯希尔顿),让一些搜索希尔顿色情视频的人上当。我已经在 Skype 最新版本,V3.6.0.244上测试过该漏洞,以前的版本应该也有该漏洞。在 Skype 发布安全补丁之前,建议不要在 Skype 上搜索视频。

请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!

留言需要登陆哦

技术博客集 - 网站简介:
前后端技术:
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成

网站主要作用:
1.编程技术分享及讨论交流,内置聊天系统;
2.测试交流框架问题,比如:Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识,如有侵权请发邮件到站长邮箱,站长会尽快处理;
4.站长邮箱:[email protected];

      订阅博客周刊 去订阅

文章归档

文章标签

友情链接

Auther ·HouTiZong
侯体宗的博客
© 2020 zongscan.com
版权所有ICP证 : 粤ICP备20027696号
PHP交流群 也可以扫右边的二维码
侯体宗的博客