[交流] Skype新漏洞可导致访问本地资源

据安全研究人员Aviv Raff透露，他已经发现并证明了Skype软件存在的一个系统漏洞。透过Skype的内部漏洞，将允许在某些情况下运行恶意代码。该问题的产生是由于Skype的网络控制功能造成的，该程序使用IE浏览器浏览内部和外部HTML代码，并且使用“本地”安全设定。　　

实际上利用该bug，恶意软件的作者需要找到或建立一个存在跨区域脚本错误的站点，在互联网上存在这种类型错误的站点还是比较普遍的。　　

据Aviv Raff表示，“当某一特定网络资源符合本地安全设定的范畴，那么将可以实现本地磁盘读写操作，或是执行任何可执行文件”。而且这种情况是很有可能发生的，例如Skype内置了视频搜索功能(dailymotion.com)，用户将很容易受到跨站点脚本文件攻击。虽然到目前为止还没有这样的站点存在。　　

这个bug影响到的版本是Skype 3.6.0.244，并可能影响到旧版本的客户端软件。该问题的解决方法是，避免使用Skype内置的视频搜索功能，仅使用电话功能不会暴露系统的潜在危险。

请大家要主要哦！