发布日期：2008-01-17
更新日期：2008-01-29

受影响系统：

Skype Skype 3.6
Skype Skype 3.5

描述：

---

BUGTRAQ  ID: 27338
CVE(CAN) ID: CVE-2007-5989

Skype是一款流行的P2P VoIP软件，可提供高质量的语音通讯服务。

Skype的ActiveX控件运行环境设置上存在漏洞，远程攻击者可能利用此漏洞在用户系统上执行任意指令。

Skype使用了Internet Explorer Web控件来渲染HTML内容并提供“add video to mood”和“add video to chat”功能。这些功能都是通过JS/ActiveX接口实现的，允许在IE的Local Zone安全环境中运行脚本。由于这个安全环境的安全级别设置比较低，因此如果用户受骗访问了恶意站点的话，就可能导致在用户机器上执行任意指令。

<*来源：Miroslav Lucinskij
  
  链接：http://www.gnucitizen.org/blog/vulnerabilities-in-skype
        http://www.kb.cert.org/vuls/id/248184
        http://aviv.raffon.net/2008/01/17/SkypeCrosszoneScriptingVulnerability.aspx
        http://skype.com/security/skype-sb-2008-001.html
*>

建议：

---

临时解决方法：

* 配置Skype使用Local Machine Zone Lockdown功能。编辑HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown注册表项，包含DWORD值Skype.exe，并将Value设置为1。或者，将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown]
"Skype.exe"=dword:00000001

厂商补丁：

Skype
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.skype.com/

浏览次数：2939
严重程度：0（网友投票）