Skype 惊现跨区域(Cross-Zone Scripting)脚本-技术博客集

Skype 惊现跨区域(Cross-Zone Scripting)脚本
互联网 / houtizong 发布于 2年前 89

35公里写道 "Aviv Raff 在他的个人网站中公布了一个最新发现的脚本漏洞，在点击了 Skype 上的链接后恶意代码就会执行，以下为他的文章：“Skype 使用 IE 控件显示其 HTML 页面内容，最典型的例子是，“Send money via Paypal” 对话，或者 “Add video to chat” 对话。最近，我发现，Skype 竟然以本地区域（Local Zone）运行其 IE 控件，更大问题是，Skype 将 HTML 页面运行在非锁定状态的本地区域，和 AOL 即时通讯曾经犯的错误一样。这意味着，如果向这些页面注入一段脚本，将有可能在用户的机器上执行这段代码，GNUCITIZEN 的 PDP 说，可以使用 Airpwn Wifi 数据包注入漏洞套用到该机制，我完全同意。” 今天，CriticalSecurity 的 Miroslav Lučinskij 向著名的安全组织 seclists.org （即著名的 insecure.org ，译者注）发布了一个消息，说，他可以在 “Add video to chat” 对话中注入一个含跨站点脚本的 DailyMotion 网站的视频链接，这里可以看到该过程的演示，他同时称，事实上，该脚本应该叫做跨区域脚本，因为该脚本运行在 IE 的本地区域，而不是 Internet 区域。

凭借该机制，黑客可以上载一段视频，并起一个诱惑人的名字（比如帕丽斯希尔顿），让一些搜索希尔顿色情视频的人上当。我已经在 Skype 最新版本，V3.6.0.244上测试过该漏洞，以前的版本应该也有该漏洞。在 Skype 发布安全补丁之前，建议不要在 Skype 上搜索视频。

上一篇：solidot的日志太监了？

下一篇：Google向科学家提供免费数据储存

请勿发布不友善或者负能量的内容。与人为善，比聪明更重要！

<div>          <a href="http://www.comsharp.com/">35公里</a> 写道 "Aviv Raff 在他的<a href="http://aviv.raffon.net/">个人网站</a>中公布了一个<a href="http://aviv.raffon.net/2008/01/17/SkypeCrosszoneScriptingVulnerability.aspx">最新发现的脚本漏洞</a>，在点击了 Skype 上的链接后恶意代码就会执行，以下为他的文章：“<i>Skype 使用 IE 控件显示其 HTML 页面内容，最典型的例子是，“Send money via Paypal” 对话，或者 “Add video to chat” 对话。最近，我发现，Skype 竟然以本地区域（Local Zone）运行其 IE 控件，更大问题是，Skype 将 HTML 页面运行在非锁定状态的本地区域，和 <a href="http://aviv.raffon.net/ct.ashx?id=e9122b6b-2848-4db9-b821-e413267b8f1d&amp;url=http%3A%2F%2Faviv.raffon.net%2F2007%2F09%2F25%2FReadyAIMFire.aspx">AOL 即时通讯曾经犯的错误</a>一样。这意味着，如果向这些页面注入一段脚本，将有可能在用户的机器上执行这段代码，<a href="http://www.gnucitizen.org/">GNUCITIZEN</a> 的 <a href="http://www.gnucitizen.org/about/pdp">PDP</a> 说，可以使用 <a href="http://airpwn.sourceforge.net/Airpwn.html">Airpwn Wifi 数据包注入漏洞</a>套用到该机制，我完全同意。”</i>          今天，<a href="http://www.critical.lt/">CriticalSecurity</a> 的 <a href="http://www.critical.lt/?opinions/show/1470">Miroslav Lučinskij</a> 向著名的安全组织 <a href="http://seclists.org/">seclists.org</a> （即著名的 <a href="http://insecure.org/">insecure.org</a> ，译者注）发布了一个消息，说，他可以在 “Add video to chat” 对话中注入一个含跨站点脚本的 DailyMotion 网站的视频链接，<a href="http://www.critical.lt/?opinions/show/1470">这里</a>可以看到该过程的演示，他同时称，事实上，该脚本应该叫做跨区域脚本，因为该脚本运行在 IE 的本地区域，而不是 Internet 区域。<br> <br>凭借该机制，黑客可以上载一段视频，并起一个诱惑人的名字（比如帕丽斯希尔顿），让一些搜索希尔顿色情视频的人上当。我已经在 Skype 最新版本，V3.6.0.244上测试过该漏洞，以前的版本应该也有该漏洞。在 Skype 发布安全补丁之前，建议不要在 Skype 上搜索视频。</div>

留言需要登陆哦

技术博客集 - 网站简介：
前后端技术：
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成
网站主要作用：
1.编程技术分享及讨论交流，内置聊天系统;
2.测试交流框架问题，比如：Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识，如有侵权请发邮件到站长邮箱，站长会尽快处理;
4.站长邮箱：[email protected];

文章归档

文章标签

友情链接

首页
关于我们

Auther ·HouTiZong: 侯体宗的博客