Skype關閉影片分享功能以防駭客入侵

Skype在近日關閉影片分享功能，以防止因Skype及所合作的影片分享網站的漏洞而遭到駭客攻擊。

Skype最近的版本提供了影片分享功能，與Dailymotion.com及Metacafe.com兩家影片分享網站合作，使用者可以透過「Add video to mood」及「Add video to chat」等兩種模式自這兩個網站上下載影片並與友人分享。

不過，安全研究人員Aviv Raff上周在部落格上揭露，Skype含有跨區域描述（Cross Zone Scripting）漏洞，假設駭客上傳一個惡意的影片檔，使用者下載後就可能受惡意程式感染。

上周五（1/18），Skype關閉了使用者連到Dailymotion.com的功能，並發表安全通知，指出此一跨區域描述漏洞影響了Skype視窗版，因為Skype利用IE的網頁控制功能來呈現HTML內容，包括提供Add video to mood及Add video to chat功能。Skype表示，要利用該功能為非做歹，必須先鑽入合作網站的安全漏洞，而Dailymotion網站就含有相關漏洞。當時Skype仍保留使用者使用連到Metacafe.com的功能。

不過，Aviv Raff在本周二（1/22）指出，他已開發出攻擊Metacafe.com漏洞的概念性驗證程式，並發現使用者只要點選一個網站或是在Skype視窗上的一個連結，就有可能受到攻擊，這意味著該漏洞可能會成為傳遞蠕蟲的途徑。

同時，Aviv Raff發現Skype已全然關閉影片分享功能，當使用者要將影片加進聊天室視窗時，會出現Skype的警語，表示因為安全問題，暫時不提供影片功能，並會在近期內回復等。

Aviv Raff建議使用者使用不含影片分享功能的Skype舊版，而另一名也寫出概念性驗證程式的研究人員Miroslav Lucinskij則認為，Skype不應該仰賴合作網站的安全性而沒有採取額外的措施來過濾可能的惡意內容，因為這可能會帶來問題。（編譯/陳曉莉）