BUGTRAQ ID: 38699
Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。
Skype在处理URI中的参数串时存在输入验证漏洞,远程攻击者可能利用此漏洞修改用户的配置或访问某些敏感信息。
URI中可能包含的/Datapath参数可以指向恶意的SMB共享,攻击者可以通过诱使用户点击恶意的skype: URI来利用漏洞。
此外Skype在处理skype-plugin:协议时也没有正确的过滤恶意URI参数,用户跟随恶意链接就可能导致删除任意指定的XML文件。
Skype 4.x
厂商补丁:
Skype
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://developer.skype.com/WindowsSkype/ReleaseNotes
http://share.skype.com/sites/garage/2010/03/10/ReleaseNotes_4.2.0.155.pdf
暂无评论