7月16日消息，據(jù)國外媒體報道，日前一位安全顧問發(fā)現(xiàn)Skype存在跨站腳本攻擊漏洞，黑客可能利用該漏洞更改帳戶密碼等，官方的答復(fù)是會在下周解決該問題。

這位名為Levent Kayan的顧問來自柏林，他于周三在自己的博客上公布了該漏洞的細(xì)節(jié)，之后周四通知Skype，周五他表示還沒有收到來自Skype的回復(fù)。問題主要出在輸入個人移動電話號碼的地方，Kayan指出惡意用戶可以在個人帳戶的該部分插入Java腳本。一旦聯(lián)絡(luò)簿中有人上線，惡意用戶帳戶就會更新，該Java腳本將會在其他聯(lián)絡(luò)人登陸時執(zhí)行，其他人就會被入侵，甚至控制其個人電腦，還可以更改其個人帳戶的密碼。

不過要實(shí)現(xiàn)入侵需要符合一些條件，比如攻擊者和受害者需要是Skype上的朋友，攻擊只有在受害者登陸時才會執(zhí)行。Kayan表示他發(fā)現(xiàn)攻擊只會在受害者登陸后發(fā)生幾次，但一旦成功后，每次登陸都會被入侵。

Skype需要檢查手機(jī)輸入?yún)^(qū)，并驗(yàn)證是否確實(shí)需要手機(jī)號碼，同時不包含可執(zhí)行代碼。該問題能影響到的是Mac OS X、Windows XP、Vista和7上的Skype 5.3.0.120。

Skype 并不贊同Kayan做出的問題描述，認(rèn)為沒有那么嚴(yán)重。Skype首席信息安全官員Adrian Asher在一項(xiàng)聲明中強(qiáng)調(diào)，“事實(shí)上是系統(tǒng)允許在你的常用聯(lián)系人窗口顯示信息或鏈接到Skype主頁上的網(wǎng)站。要達(dá)到該目的這個人要通過驗(yàn)證，并且是你的常用聯(lián)絡(luò)人，現(xiàn)實(shí)中也不會造成什么麻煩。”