Skype Web内容区远程代码执行漏洞

BUGTRAQ ID: 27338
CVE(CAN) ID: CVE-2007-5989

Skype是一款流行的P2P VoIP软件，可提供高质量的语音通讯服务。

Skype的ActiveX控件运行环境设置上存在漏洞，远程攻击者可能利用此漏洞在用户系统上执行任意指令。

Skype使用了Internet Explorer Web控件来渲染HTML内容并提供“add video to mood”和“add video to chat”功能。这些功能都是通过JS/ActiveX接口实现的，允许在IE的Local Zone安全环境中运行脚本。由于这个安全环境的安全级别设置比较低，因此如果用户受骗访问了恶意站点的话，就可能导致在用户机器上执行任意指令。

Skype Skype 3.6
Skype Skype 3.5
临时解决方法：

• 配置Skype使用Local Machine Zone Lockdown功能。编辑HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown注册表项，包含DWORD值Skype.exe，并将Value设置为1。或者，将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown]
"Skype.exe"=dword:00000001

厂商补丁：

Skype

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

<a href=“http://www.skype.com/” target=“_blank”>http://www.skype.com/</a>