视频Skype惊现跨区域CrossZoneScripting脚本漏洞

感谢35千米的投递Aviv Raff 在他的个人网站（ ）中公布了一个最新发现的脚本漏洞，让恶意代码在点击了 Skype 上的链接后履行，以下为他的文章。Skype 使用 IE 控件显示其 HTML 页面内容，最典型的例子是，“Send money via Paypal” 对话，或 “Add video to chat” 对话。最近，我发现，Skype 居然以本地区域（Local Zone）运行其 IE 控件，更大问题是，Skype 将 HTML 页面运行在非锁定状态的本地区域，和 AOL即时通讯曾犯的毛病一样。

这意味着，如果向这些页面注如入一段脚本，将有可能在用户的机器上履行这段代码，GNUCITIZEN 的 PDP 说，可以使用 AirpwnWifi数据包注入漏洞套用到该机制，我完全同意。 今天，CriticalSecurity 的 Miroslav Lu?inskij向著名的安全组织 （即著名的 ，译者注）发布了一个消息，说，他可以在 “Add video tochat” 对话中注入一个含跨站点脚本的 DailyMotion 网站的视频链接，这里可以看到该进程的演示，他同时称，事实上，该脚本应当叫做跨区域脚本，由于该脚本运行在IE 的本地区域，而不是 Internet 区域。 凭仗该机制，黑客可以上载一段视频，并起一个诱惑人的名字（比如艳星希尔顿什么的），让一些搜索希尔顿色情视频的人上当。我已在 Skype最新版本，V3.6.0.244上测试过该漏洞，之前的版本应当也有该漏洞。在 Skype 发布安全补丁之前，建议不要在 Skype 上搜索视频。 本文国际来源：由COMSHARP CMS的35千米翻译并发表在锐商企业CMS官方站点 上

最好的妇幼保健院

深圳烧伤专科医院排名

北京中科白癜风医院科室列表