BUGTRAQ ID: 27338
CVE(CAN) ID: CVE-2007-5989
Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。
Skype的ActiveX控件运行环境设置上存在漏洞,远程攻击者可能利用此漏洞在用户系统上执行任意指令。
Skype使用了Internet Explorer Web控件来渲染HTML内容并提供“add video to mood”和“add video to chat”功能。这些功能都是通过JS/ActiveX接口实现的,允许在IE的Local Zone安全环境中运行脚本。由于这个安全环境的安全级别设置比较低,因此如果用户受骗访问了恶意站点的话,就可能导致在用户机器上执行任意指令。
Skype Skype 3.6
Skype Skype 3.5
临时解决方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown]
"Skype.exe"=dword:00000001
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://www.skype.com/” target=“_blank”>http://www.skype.com/</a>