发布日期:2008-01-17
更新日期:2008-01-29
受影响系统:
Skype Skype 3.6
Skype Skype 3.5
描述:
BUGTRAQ ID: 27338
CVE(CAN) ID: CVE-2007-5989
Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。
Skype的ActiveX控件运行环境设置上存在漏洞,远程攻击者可能利用此漏洞在用户系统上执行任意指令。
Skype使用了Internet Explorer Web控件来渲染HTML内容并提供“add video to mood”和“add video to chat”功能。这些功能都是通过JS/ActiveX接口实现的,允许在IE的Local Zone安全环境中运行脚本。由于这个安全环境的安全级别设置比较低,因此如果用户受骗访问了恶意站点的话,就可能导致在用户机器上执行任意指令。
Skype:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.skype.com/
(责任编辑:高爽)
