Skype 驚現跨區域腳本漏洞 IE成幫兇

2020-11-23 中關村在線

    Skype 使用 IE 控制項顯示其 HTML 頁面內容,最典型的例子是,「Send money via Paypal」 對話,或者 「Add video to chat」 對話。最近,我發現,Skype 竟然以本地區域(Local Zone)運行其 IE 控制項,更大問題是,Skype 將 HTML 頁面運行在非鎖定狀態的本地區域,和 AOL 即時通訊曾經犯的錯誤一樣。

    這意味著,如果向這些頁面注如入一段腳本,將有可能在用戶的機器上執行這段代碼,GNUCITIZEN 的 PDP 說,可以使用 Airpwn Wifi 數據包注入漏洞套用到該機制,我完全同意。

    今天,CriticalSecurity 的 Miroslav Luinskij 向著名的安全組織 seclists.org (即著名的 insecure.org ,譯者注)發布了一個消息,說,他可以在 「Add video to chat」 對話中注入一個含跨站點腳本的 DailyMotion 網站的視頻連結,這裡可以看到該過程的演示,他同時稱,事實上,該腳本應該叫做跨區域腳本,因為該腳本運行在 IE 的本地區域,而不是 Internet 區域。

    憑藉該機制,黑客可以上載一段視頻,並起一個誘惑人的名字(比如豔星希爾頓什麼的),讓一些搜索希爾頓色情視頻的人上當。我已經在 Skype 最新版本,V3.6.0.244上測試過該漏洞,以前的版本應該也有該漏洞。在 Skype 發布安全補丁之前,建議不要在 Skype 上搜索視頻。 

相關焦點

  • iPhone驚現WiFi漏洞 手機管家四大建議安全護航
    原標題:iPhone驚現WiFi漏洞 手機管家四大建議安全護航   最近一家安全公司研究發現,利用蘋果iPhone手機在一個WiFi上的漏洞,可以利用攻擊腳本程序,對某一部蘋果手機或者其中的一個軟體,發動拒絕服務攻擊,用戶手中的手機,將變成「磚頭」。
  • skype是什麼?skype怎麼安裝使用?
    skype是一款國際通訊工具,通過skype可以實現免費通話,免費視頻等功能。可以使用即時消息、語音消息和發送簡訊,無論你在哪裡都可以實現隨時隨地加入聊天。如何才能註冊skype帳戶呢?並使用skype通話呢?
  • Clickjacking:最新的跨瀏覽器攻擊漏洞引起恐慌
    感謝35公裡的投遞新聞來源:zdnet.com安全專家們最近發出警告,一個最新發現的跨瀏覽器攻擊漏洞將帶來非常可怕的安全問題
  • 負載均衡廠商F5驚現高危漏洞:8000多臺設備處於高度風險之中 全球...
    F5(F5 Networks)作為全球領先的應用交付網絡(ADN)領域的廠商,6月被曝出BIG-IP(負載均衡)中兩個嚴重漏洞,代號分別為CVE-2020-5902和CVE-2020-5903,使8000多臺設備處於高度風險之中,政府,銀行,雲提供商,全球500強公司紛紛中招。
  • 網站安全滲透測試常見的漏洞有哪些
    我們SINE安全在進行Web滲透測試中網站漏洞利用率最高的前五個漏洞。常見漏洞包括注入漏洞、文件上傳漏洞、文件包含漏洞、命令執行漏洞、代碼執行漏洞、跨站點腳本(XSS)漏洞、SSRF漏洞、XML外部實體(XXE)漏洞、反序列化漏洞、解析漏洞等。,因為這些安全漏洞可能被黑客利用,從而影響業務。以下每一條路線都是一種安全風險。
  • 微軟2020年8月周二補丁修復120個漏洞和2個零日漏洞
    從Edge到Windows再到SQL Server、.NET Framework,這家公司為13款產品修復了120個漏洞。在本月修復的120個漏洞中,有17個漏洞被評為「嚴重」級別,還有兩個零日漏洞--不過在微軟提供今日補丁之前,黑客就已經利用了這些漏洞。
  • 各方共話長三角跨流域跨區域生態補償機制
    建設綠色長三角,跨流域跨區域生態補償機制是重要手段。《長江三角洲區域一體化發展規劃綱要》(下稱《規劃綱要》)中提出,完善跨流域跨區域生態補償機制。建立健全開發地區、受益地區與保護地區橫向生態補償機制,探索建立汙染賠償機制。  如何通過跨流域跨區域生態補償機制打通綠色發展路徑?
  • 微軟發8月補丁修9漏洞 DLL劫持漏洞未修復
    據360安全專家介紹,微軟本月修復的漏洞主要影響Windows XP系統用戶,絕大多數為遠程代碼執行漏洞,而這類漏洞通常被黑客用於掛馬網頁及惡意郵件攻擊。微軟公告顯示,9月漏洞補丁中,有8款用於修復各版本作業系統和應用程式的遠程代碼執行漏洞,1款用於修復Windows客戶伺服器運行時子系統(CSRSS)本地權限提升漏洞。
  • 浙江平均降水量同比少七成,多地跨區域調水應對旱情!
    近期,浙江省平均降水量比常年同期偏少七成,導致多地出現旱情,我省多地啟動跨區域調水機制,重點保障居民生活用水。在溫嶺,由於旱情延續,主城區和東部地區缺水嚴重,當地啟動抗旱二級應急響應。在衢州和金華,通過烏溪江引水工程已開展5輪集中跨區域調水,引供水量達到1.39億立方米。作為我省最大的跨區域水資源配製工程,浙東引水工程也開足馬力,將浦陽江一帶的水資源向寧波姚江一帶輸送。原本明天一月完工的上虞梁湖樞紐,眼下也提前緊急投用,保障紹興、寧波、舟山等部分地區用水。浙江省錢塘江流域中心浙東引水部主任 唐 毅:到目前為止(引水)3000萬方,相當於一個中型水庫。
  • 湖南某科技公司疑似利用Struts2漏洞傳毒挖礦
    經過瑞星安全專家調查取證分析發現,這又是一個由於沒有及時更新Struts2漏洞,導致內網淪陷的案例,黑客利用漏洞植入挖礦軟體,瘋狂消耗用戶機器資源,幫助其賺錢。 近日,瑞星收到用戶求助,表示內網中有大量伺服器中毒,並且每臺機器CPU佔用極高,導致網內業務系統無法正常工作。
  • 漏洞分析|CORS-anywhere:第三方軟體配置錯誤的危險
    該應用程式的前端是用React編寫的,React是一個Web框架,可以很好地預防XSS(跨站點腳本)和HTML注入等攻擊。在實現方面,前端JavaScript定期從區塊鏈RPC API中獲取新的塊數據。因為區塊鏈是一個簡單的應用程式,沒有「傳統的」後端伺服器,不涉及身份驗證和授權,也不需要處理大量的用戶輸入。因此一般來說,很難在區塊鏈瀏覽器應用程式中找到嚴重漏洞。
  • 逆溫層成霧霾「幫兇」 如何打破霧霾循環肆虐的怪圈?
    原標題:逆溫層成霧霾「幫兇」 如何打破霧霾循環肆虐的怪圈?   逆溫層成霧霾「幫兇」   霧和霾是自然界中能使能見度降低的兩種不同的天氣現象。窗外的昏天暗地究竟是霧是霾,不少人表示「傻傻分不清楚」。   中國氣象局環境氣象中心首席預報員馬學款介紹,霧是由大量懸浮在近地面空氣中的微小水滴或冰晶組成的水汽凝結物,霧滴肉眼可見,常呈乳白色,使水平能見度小於1公裡,高山、海濱、鄉村常見,城市群區域較少見。
  • 用哪種語言寫的應用漏洞最嚴重?六大主流語言代碼漏洞分析報告出爐
    如果你是一位靠 .NET、C++、Java、JavaScript、PHP 或 Python 吃飯的開發者,那要注意了:一項新研究揭示了這些程式語言的主要安全漏洞。 靜態代碼分析安全公司 Veracode 近期發布了這些語言的漏洞類型數據,這是該公司掃描了 13 萬應用程式的安全問題後得到的報告。
  • 日本跨專業考心理學的難度大嗎?
    相比起其他心理學的分支,社會心理學對跨考的包容度比較高一些。但仍需要掌握數理統計、實驗方法設計等內容,因為終歸是要做定量性質的實證研究。心理系是研究型學科,研究室都很小,因此基本需要和教授先郵件聯繫-研究室見面細談或者skype(讓教授對你有所了解)-獲得考試的許可-參加考試。接下來我們來了解下什麼是心理學,心理學實際與生物學,醫學等眾多領域學科密不可分。
  • ShellShock漏洞影響廣泛 企業如何防範?_網康 NF-S360-A_網絡設備...
    繼上次震驚業內的Heartbleed漏洞被曝出後,現在又一個影響廣泛的ShellShock漏洞再次出現在大眾的面前。近日,美國的國家漏洞資料庫(NVD)對其發布了最新的漏洞通報(編號為CNNVD-201409-938)。那麼這個漏洞將會產生怎樣的影響,企業又該怎樣防範呢?
  • 媒體訪氣象局:逆溫層成霧霾"幫兇"?關鍵在減排
    逆溫層成霧霾「幫兇」  霧和霾是自然界中能使能見度降低的兩種不同的天氣現象。窗外的昏天暗地究竟是霧是霾,不少人表示「傻傻分不清楚」。  中國氣象局環境氣象中心首席預報員馬學款介紹,霧是由大量懸浮在近地面空氣中的微小水滴或冰晶組成的水汽凝結物,霧滴肉眼可見,常呈乳白色,使水平能見度小於1公裡,高山、海濱、鄉村常見,城市群區域較少見。
  • ie瀏覽器怎麼優化設置?ie瀏覽器優化設置方法
    ie瀏覽器作為windows自帶的瀏覽器卻很少有人去使用,因為很多人覺得ie瀏覽器使用起來速度很慢,其實我們可以優化設置一下ie瀏覽器讓其速度變得更快,但是很多朋友不知道ie瀏覽器怎麼優化設置?下面小編就來詳細的教教大家吧!