Skype 驚現跨區域(Cross-Zone Scripting)腳本漏洞

yumr

Aviv Raff 在他的個人網站（http://aviv.raffon.net ）中公佈了一個最新發現的腳本漏洞，讓惡意代碼在點擊了 Skype 上的鏈接後執行，以下為他的文章。
Skype 使用 IE 控件顯示其 HTML 頁面內容，最典型的例子是，「Send money via Paypal」 對話，或者 「Add video to chat」 對話。最近，我發現，Skype 竟然以本地區域（Local Zone）運行其 IE 控件，更大問題是，Skype 將 HTML 頁面運行在非鎖定狀態的本地區域，和 AOL 即時通訊曾經犯的錯誤一樣。

這意味著，如果向這些頁面注如入一段腳本，將有可能在用戶的機器上執行這段代碼，GNUCITIZEN 的 PDP 說，可以使用 Airpwn Wifi 數據包注入漏洞 套用到該機制，我完全同意。

今天，CriticalSecurity 的 Miroslav Lu?inskij 向著名的安全組織 seclists.org （即著名的 insecure.org ，譯者注）發佈了一個消息，說，他可以在 「Add video to chat」 對話中注入一個含跨站點腳本的 DailyMotion 網站的視頻鏈接，這裡可以看到該過程的演示，他同時稱，事實上，該腳本應該叫做跨區域腳本，因為該腳本運行在 IE 的本地區域，而不是 Internet 區域。

憑借該機制，黑客可以上載一段視頻，並起一個誘惑人的名字（比如艷星希爾頓什麼的），讓一些搜索希爾頓色情視頻的人上當。我已經在 Skype 最新版本，V3.6.0.244上測試過該漏洞，以前的版本應該也有該漏洞。在 Skype 發佈安全補丁之前，建議不要在 Skype 上搜索視頻。