图 1 Skype界面

　　安全专家拉夫在上周四报告说，这一编程错误与Skype使用Windows内置的IE组件显示HTML的方式有关。由于Skype程序并没有对IE组件的运行进行严格的安全控制，黑客能够以危险的方式在用户的系统上运行脚本代码，并安装恶意软件。安全专家在博客中还写道，Skype是以安全性较低的“本地安全区域”的安全设置来运行IE组件的。因此攻击者能获取较高的权限执行危险动作，例如从本地光盘上读/写文件或启动可执行文件等。

　　而要发动攻击，黑客需要首先找到一个可信赖的但存在跨区域脚本错误的网站，通过存在这一错误的网站，黑客可以利用伪装的恶意脚本通过Skype发动攻击。

　　安全专家拉夫在演示视频中演示了这一攻击过程。用户只需使用Skype中的“Add video to chat”功能来访问一个存在错误的可信赖站点，如DailyMotion.com即可受到攻击。安全专家还表示，为了提高攻击用户的可能性，黑客也许还在网站上放置大量的恶意广告。另外，这一编程错误将危及到Skype大部分版本，包括最新的Skype 3.6.0.244。专家建议，在官方正式发布修复方案前，用户尽量不要使用Skype中的视频搜索功能。