研究者再次发现Skype漏洞 黑客可恶意更改密码

7月16日消息，据国外媒体报道，日前一位安全顾问发现Skype存在跨站脚本攻击漏洞，黑客可能利用该漏洞更改帐户密码等，官方的答复是会在下周解决该问题。

这位名为Levent Kayan的顾问来自柏林，他于周三在自己的博客上公布了该漏洞的细节，之后周四通知Skype，周五他表示还没有收到来自Skype的回复。问题主要出在输入个人移动电话号码的地方，Kayan指出恶意用户可以在个人帐户的该部分插入Java脚本。一旦联络簿中有人上线，恶意用户帐户就会更新，该Java脚本将会在其他联络人登陆时执行，其他人就会被入侵，甚至控制其个人电脑，还可以更改其个人帐户的密码。

不过要实现入侵需要符合一些条件，比如攻击者和受害者需要是Skype上的朋友，攻击只有在受害者登陆时才会执行。Kayan表示他发现攻击只会在受害者登陆后发生几次，但一旦成功后，每次登陆都会被入侵。

Skype需要检查手机输入区，并验证是否确实需要手机号码，同时不包含可执行代码。该问题能影响到的是Mac OS X、Windows XP、Vista和7上的Skype 5.3.0.120。

Skype 并不赞同Kayan做出的问题描述，认为没有那么严重。Skype首席信息安全官员Adrian Asher在一项声明中强调，“事实上是系统允许在你的常用联系人窗口显示信息或链接到Skype主页上的网站。要达到该目的这个人要通过验证，并且是你的常用联络人，现实中也不会造成什么麻烦。”