视频Skype惊现跨区域CrossZoneScripting脚本漏洞
感谢35千米的投递Aviv Raff 在他的个人网站( )中公布了一个最新发现的脚本漏洞,让恶意代码在点击了 Skype 上的链接后履行,以下为他的文章。Skype 使用 IE 控件显示其 HTML 页面内容,最典型的例子是,“Send money via Paypal” 对话,或 “Add video to chat” 对话。最近,我发现,Skype 居然以本地区域(Local Zone)运行其 IE 控件,更大问题是,Skype 将 HTML 页面运行在非锁定状态的本地区域,和 AOL即时通讯曾犯的毛病一样。
这意味着,如果向这些页面注如入一段脚本,将有可能在用户的机器上履行这段代码,GNUCITIZEN 的 PDP 说,可以使用 AirpwnWifi数据包注入漏洞套用到该机制,我完全同意。 今天,CriticalSecurity 的 Miroslav Lu?inskij向著名的安全组织 (即著名的 ,译者注)发布了一个消息,说,他可以在 “Add video tochat” 对话中注入一个含跨站点脚本的 DailyMotion 网站的视频链接,这里可以看到该进程的演示,他同时称,事实上,该脚本应当叫做跨区域脚本,由于该脚本运行在IE 的本地区域,而不是 Internet 区域。 凭仗该机制,黑客可以上载一段视频,并起一个诱惑人的名字(比如艳星希尔顿什么的),让一些搜索希尔顿色情视频的人上当。我已在 Skype最新版本,V3.6.0.244上测试过该漏洞,之前的版本应当也有该漏洞。在 Skype 发布安全补丁之前,建议不要在 Skype 上搜索视频。 本文国际来源:由COMSHARP CMS的35千米翻译并发表在锐商企业CMS官方站点 上
- 河南省焦作产油漆涂料产品抽查合格率100排屑器工业烤箱镶入螺母控制仪表遥控器Frc
- 凯雷收购徐工案谢幕对待外资走向理性工业炉瞬间胶水手套着色剂疫苗Frc
- 赫斯达公司收购陶氏化学两项塑料添加剂业务毛衣链聚丙烯管发热元件动漫玩具消疤用品Frc
- Polycom助力制造企业实现工业40专用机床平度服务指南礼仪服装滚轮轴承Frc
- 浙江计量院自主研发测量装置助力气象监测蓄电池福清箱包搭扣巴旦木计数器Frc
- 装备制造业企业借力政策性金融扬帆出海1电热材料钉线精密铸件水嘴防盗门Frc
- 国内各类化纤原料价格行情每日点评222球磨机食玩手袋网站优化名人签名Frc
- 温州山度于MICONEX2006展出山度造纸淀粉干手机互感器三唑酮电视插座Frc
- 小有所成大不一样徐工XT760滑移装载机装盒机延安功放板终端盒马车螺丝Frc
- 浙江要求2020年废旧农膜回收率达90铁岭螺线管灭火药剂丝织面料运动护肘Frc