蠕虫将大面积爆发Skype被迫关闭视频功能

　　据国外媒体报道，安全研究人员Aviv Raff最早于上周四披露了Skype存在的安全漏洞，当Skype通过IE部件运行HTML时该漏洞会出现.Skype的视频共享功能可以让用户共享存放在Dailymotion.com 和Metacafe.com两个站点的视频内容，共享内容时还可以与其它好友正常聊天. 网管论坛bbs_bitsCN_com

　　上周，Raff公开演示了攻击者如何的过程，本周二，Raff进一步表示，该安全漏洞可能导致的后果远远要比他当初想到的严重.Raff在博客中表示：“用户一不留神就可能中招，比如访问一个问题网站，或点击即时信息传来的网站链接等.” 中国网管联盟bitsCN.com

　　本周二，Skype已经从该客户端软件中取消了视频功能，用户在点击聊天窗口下的视频按钮时，系统回复信息称“由于安全原因”该功能暂时不可用，信息还称“我们的工程师正在全力解决这一问题，对您带来不便我们感到非常抱歉.” 网管联盟bitsCN@com

　　Skype公司代表没有对上述消息发表评论.上周，Skpe公司发言人维卢·阿拉克证实，在登录Dailymotion.com网站时，Skype 3.5 和3.6两个版本的确存在安全问题，不过用户可通过Metacafe.com网站正常共享视频.但Raff表示，本周二在得知安全隐患后，Skype公司临时将全部视频功能取消. 网管联盟bitsCN@com

　　Raff表示，Metacafe网站存在一个交互脚本漏洞，这也是一个普通的编程错误，但Raff可以通过该漏洞在Metacafe.com上运行JavaScript脚本，这说明该漏洞完全可能被攻击者利用来运行恶意程序.攻击者可以通过被控制的电脑向该用户的所有Skype好友发送指向恶意网站的链接. 网管朋友网www_bitscn_net

　　在Raff的攻击演示中，攻击者首先必须向Metacafe 和Dailymotion网站其中之一发布经过恶意编辑的视频文件然而Metacafe 网站本周二却表示，恶意攻击者突破该网站的内容过滤发布包括恶意代码视频文件的事“几乎不可能”.Metacafe公司在声明中表示，Skype用户最早可能于本周早晨正常使用Metacafe的视频内容.

网管有家bitscn.net

　　Raff表示，由于恶意攻击有可能导致大范围的蠕虫暴发，因此Skype最好应在问题解决之后再开通Metacafe服务.

网管u家bitscn.net

　　Raff表示相信Dailymotion网站也可能会受到类似攻击，但由于 Skype已切断了与该网站的连接，所以目前无法证实.安全研究人员表示，问题主要出在Skype用户使用的IE部件的设置有存在不当之处.本来在运行网页是设置较为安全的“互联网域”级别，但Skype用户却使用了IE的“本地域”设置，该设置通常用于运行信任度较高的内容.