该漏洞只需利用 Skype 的洞可地址文本消息功能发送一个链接,无需用户点击该链接,轻易就能暴露用户的泄露 IP 地址。
这个漏洞最初是报告由一位化名为“Yossi”的独立安全研究员发现的,文章描述了利用这个漏洞的称微存严过程:
首先,Yossi 通过 Skype 文本聊天给我发送了一个指向 google.com 的移动应用用户链接。这个链接是重漏真的谷歌网站,而不是洞可地址假的。然后我在 iPad 上打开了 Skype,轻易并查看了聊天消息。泄露我甚至没有点击这个链接,报告但是很快之后,Yossi 就把我的 IP 地址发到了聊天中,而且是正确的。
文章补充说,这个问题只影响 Skype 的移动应用,而不影响桌面版的 Skype。出于安全原因,文章没有透露黑客方面如何利用这个漏洞的细节,但是文章称这个漏洞“非常容易被利用,只涉及改变链接相关的某个参数”。
Yossi 把他发现的漏洞信息发送给了微软,微软对 Yossi 的最初回应是,Skype 中的 IP 地址暴露“不符合需要立即修复的安全漏洞的定义”。然而当 404media.com 向微软寻求评论时,微软表示,虽然仅仅基于 IP 地址暴露来看,Skype 中的这个问题不是一个紧急的安全问题,“但我们将在未来的产品更新中解决它,作为一种深度防御的改进,以帮助保护客户”。截至撰写本文时,微软尚未修复这个问题。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,所有文章均包含本声明。
(责任编辑:娱乐)