蠕虫将大面积爆发 Skype被迫关闭视频功能

1月24日消息，安全研究人员本周二表示，因为担心黑客可能利用Skype视频共享存在的安全漏洞发起自我复制攻击，因此Skype被迫关闭了该功能。

据国外媒体报道，安全研究人员Aviv Raff最早于上周四披露了Skype存在的安全漏洞，当Skype通过IE部件运行HTML时该漏洞会出现。Skype的视频共享功能可以让用户共享存放在Dailymotion.com 和Metacafe.com两个站点的视频内容，共享内容时还可以与其它好友正常聊天。

上周，Raff公开演示了攻击者如何利用Skype存在的安全漏洞来运行恶意程序的过程，本周二，Raff进一步表示，该安全漏洞可能导致的后果远远要比他当初想到的严重。Raff在博客中表示：“用户一不留神就可能中招，比如访问一个问题网站，或点击即时信息传来的网站链接等。”

本周二，Skype已经从该客户端软件中取消了视频功能，用户在点击聊天窗口下的视频按钮时，系统回复信息称“由于安全原因”该功能暂时不可用，信息还称“我们的工程师正在全力解决这一问题，对您带来不便我们感到非常抱歉。”

Skype公司代表没有对上述消息发表评论。上周，Skpe公司发言人维卢·阿拉克证实，在登录Dailymotion.com网站时，Skype 3.5 和3.6两个版本的确存在安全问题，不过用户可通过Metacafe.com网站正常共享视频。但Raff表示，本周二在得知安全隐患后，Skype公司临时将全部视频功能取消。

Raff表示，Metacafe网站存在一个交互脚本漏洞，这也是一个普通的编程错误，但Raff可以通过该漏洞在Metacafe.com上运行JavaScript脚本，这说明该漏洞完全可能被攻击者利用来运行恶意程序。攻击者可以通过被控制的电脑向该用户的所有Skype好友发送指向恶意网站的链接。

在Raff的攻击演示中，攻击者首先必须向Metacafe 和Dailymotion网站其中之一发布经过恶意编辑的视频文件然而Metacafe 网站本周二却表示，恶意攻击者突破该网站的内容过滤发布包括恶意代码视频文件的事“几乎不可能”。Metacafe公司在声明中表示，Skype用户最早可能于本周早晨正常使用Metacafe的视频内容。

Raff表示，由于恶意攻击有可能导致大范围的蠕虫暴发，因此Skype最好应在问题解决之后再开通Metacafe服务。

Raff表示相信Dailymotion网站也可能会受到类似攻击，但由于Skype已切断了与该网站的连接，所以目前无法证实。安全研究人员表示，问题主要出在Skype用户使用的IE部件的设置有存在不当之处。本来在运行网页是设置较为安全的“互联网域”级别，但Skype用户却使用了IE的“本地域”设置，该设置通常用于运行信任度较高的内容。