俄國駭客早就在3個月前就透過駭客論壇公布了該漏洞,只是微軟並未採取任何行動。根據論壇上的說明,有心人士只要透過既有Skype用戶所使用的電子郵件再去申請一個新的Skype帳號,就能透過Skype站上的密碼重設功能取得使用同一電子郵件之所有Skype帳號的掌控權,包括資安業者以及部份媒體皆已成功重製此一攻擊行動,且在幾分鐘內就能完成。
趨勢科技安全研究總監Rik Ferguson指出,執行該攻擊唯一需要的就是受害者的電子郵件帳號,建立新帳號後再利用線上密碼重設功能就能挾持Skype用戶的帳號,甚至連小孩都做得到。
在此一漏洞被公開後,微軟旋即發表聲明,指出該漏洞影響某些以同一電子郵件帳號註冊多個Skype帳號的用戶,因此在周三(11/14)早上暫時中止密碼重設功能並進行更新,現已可正常運作,同時通知那些可能受到影響的少數用戶,以在必要時提供協助。
發表文章
沒有留言:
張貼留言