居住在德國柏林的互聯網安全專家萊文特·卡揚(Levent Kayan)周三在其個人博客中公布了他所發現Skype安全漏洞的技術詳情，隨后就此事通知了Skype。卡揚稱，截至周五，他還沒有收到Skype的任何回復。

卡揚表示，Skype這個安全漏洞源于跨網站代碼錯誤，即用戶在使用Skype服務之前，必須首先輸入手機號碼和密碼。而利用Skype的這個安全漏洞，惡意攻擊者可在要求用戶輸入手機號碼的區域插入JavaScript代碼。

如此一來，惡意攻擊者其他聯系人上線后，相應JavaScript代碼將被自動執行，惡意攻擊者將可查看該聯系人的登錄信息，并有可能通過該方式劫持該聯系人的電腦，同時可借此更改Skype用戶帳號的密碼。

卡 揚指出，惡意攻擊者要實現上述攻擊，首先需滿足一些條件，如攻擊者和被攻擊者在Skype中必須為好友關系。他還表示，當某位聯系人首次登錄時，上述攻擊 或許無法立即實施。多數情況下，被攻擊者需登錄數次后，攻擊者才能完成攻擊過程。但卡揚指出，曾發現聯系人登錄一次后就被攻擊的情況。

卡揚 建議，Skype應該對用戶輸入手機號碼區域進入檢查，以確保該區域不被插入可執行代碼。他表示，該漏洞存在于Skype最新5.3.0.120版本當 中，Windows XP、Vista、 Windows 7 及Mac OS X等操作系統用戶皆受到影響。

對于卡揚曝出的上述安全漏洞，Skype尚未發表評論。

微軟今年5月宣布，將以85億美元收購Skype。該交易此前已得到美國監管部門的批準，歐盟仍在對此展開反壟斷調查。

【編輯推薦】

1. 著名女黑客克大贊微軟在安全方面的進步
2. 大量黑客被招募 專門從事美國信息安全項目
3. 如何應對層出不窮的虛擬化安全問題？
4. 承載的不僅是安全 SOC迎接新網絡時代
5. 一個網絡安全從業者講述十年工作感悟