|
俄罗斯论坛周二(11/13)公布了挟持他人Skype帐号的步骤,使得微软隔天立即中止并更新了Skype的密码重设功能。
俄罗斯黑客早就在3个月前就通过黑客论坛公布了该漏洞,只是微软并未采取任何行动。根据论坛上的说明,有心人士只要通过既有Skype用户所使用的电子邮件再去申请一个新的Skype帐号,就能通过Skype站上的密码重设功能取得使用同一电子邮件之所有Skype帐号的掌控权,包括资安业界以及部份媒体皆已成功重制此一攻击行动,且在几分钟内就能完成。
趋势科技安全研究总监Rik Ferguson指出,执行该攻击唯一需要的就是受害者的电子邮件帐号,建立新帐号后再利用线上密码重设功能就能挟持Skype用户的帐号,甚至连小孩都做得到。
在此一漏洞被公开后,微软旋即发表声明,指出该漏洞影响某些以同一电子邮件帐号注册多个Skype帐号的用户,因此在周三(11/14)早上暂时中止密码重设功能并进行更新,现已可正常运作,同时通知那些可能受到影响的少数用户,以在必要时提供协助。
[/td][/tr]
[/table] |
|