（中濤）北京時(shí)間7月16日消息，據(jù)國(guó)外媒體報(bào)道，德國(guó)一名安全專家周三在網(wǎng)上公布了網(wǎng)絡(luò)電話服務(wù)軟件Skype存在的一個(gè)“重大安全漏洞”，稱惡意攻擊者可借此劫持用戶密碼。
居住在德國(guó)柏林的互聯(lián)網(wǎng)安全專家萊文特·卡揚(yáng)(Levent Kayan)周三在其個(gè)人博客中公布了他所發(fā)現(xiàn)Skype安全漏洞的技術(shù)詳情，隨后就此事通知了Skype?？〒P(yáng)稱，截至周五，他還沒(méi)有收到Skype的任何回復(fù)。
卡揚(yáng)表示，Skype這個(gè)安全漏洞源于跨網(wǎng)站代碼錯(cuò)誤，即用戶在使用Skype服務(wù)之前，必須首先輸入手機(jī)號(hào)碼和密碼。而利用Skype的這個(gè)安全漏洞，惡意攻擊者可在要求用戶輸入手機(jī)號(hào)碼的區(qū)域插入JavaScript代碼。
如此一來(lái)，惡意攻擊者其他聯(lián)系人上線后，相應(yīng)JavaScript代碼將被自動(dòng)執(zhí)行，惡意攻擊者將可查看該聯(lián)系人的登錄信息，并有可能通過(guò)該方式劫持該聯(lián)系人的電腦，同時(shí)可借此更改Skype用戶帳號(hào)的密碼。
卡揚(yáng)指出，惡意攻擊者要實(shí)現(xiàn)上述攻擊，首先需滿足一些條件，如攻擊者和被攻擊者在Skype中必須為好友關(guān)系。他還表示，當(dāng)某位聯(lián)系人首次登錄時(shí)，上述攻擊或許無(wú)法立即實(shí)施。多數(shù)情況下，被攻擊者需登錄數(shù)次后，攻擊者才能完成攻擊過(guò)程。但卡揚(yáng)指出，曾發(fā)現(xiàn)聯(lián)系人登錄一次后就被攻擊的情況。
卡揚(yáng)建議，Skype應(yīng)該對(duì)用戶輸入手機(jī)號(hào)碼區(qū)域進(jìn)入檢查，以確保該區(qū)域不被插入可執(zhí)行代碼。他表示，該漏洞存在于Skype最新5.3.0.120版本當(dāng)中，Windows XP、Vista、Windows 7及Mac OS X等操作系統(tǒng)用戶皆受到影響。
對(duì)于卡揚(yáng)曝出的上述安全漏洞，Skype尚未發(fā)表評(píng)論。
微軟今年5月宣布，將以85億美元收購(gòu)Skype。該交易此前已得到美國(guó)監(jiān)管部門的批準(zhǔn)，歐盟仍在對(duì)此展開(kāi)反壟斷調(diào)查。