Пользователи Skype в опасности

, Автор - ; Продукт - Skype; [1759]
Исследователи безопасности обнаружили несколько критических уязвимостей в популярном сервисе Skype. Используя простые и довольно замысловатые приемы, злоумышленник может взять полный контроль над атакуемой системой.
Исследователь ИБ Авив Рафф обнаружил и продемонстрировал уязвимость в Skype («межзоновую уязвимость исполнения сценариев», cross-zone scripting vulnerability). Она позволяет при определенных условиях запустить выполнение вредоносного кода и взять контроль над ПК с операционной системой Windows.

Причина уязвимости — проблема в веб-функции Skype. Для отображения HTML-страниц Skype использует движок Internet Explorer. Причем программа запускает движок, находясь в «Локальной зоне» (Local Zone). Это значит, что если хакер внедрит вредоносный код в страницу, которую посещает пользователь Skype, то может взять полный контроль над ПК жертвы.

Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видеофайл на ресурсе DailyMotion (партнер Skype). Предприимчивый хакер может загрузить опасный видеофайл и установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через Skype ищут видеоролики по этому ключевому слову, пишет arstechnica.com.

Петко Петков (Petko Petkov), исследователь ИБ, отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку большого количества вредоносных видеофайлов на файлообменник DailyMotion.

Уязвимость касается последней версии Skype — 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях.

Петков сообщает, что Skype имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE, код будет выполнен в локальной зоне, сообщает techworld.com. Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.

Кроме того, при пользовании Skype в общественных Wi-Fi хот-спотах есть большая вероятность перехвата трафика Skype злоумышленниками.

Исследователи ИБ рекомендуют не использовать поисковик видеофайлов и отключить функцию отображения видео во время звонка, до тех пор, пока Skype не выпустит патч.

Компания Skype пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.

Поделиться в социальных сетях:


Обзор Orico CTU3 Series. Недорогой, стил...
Сегодня мы бы хотели представить вашему вниманию ultra mini USB 3.0 Card Reader - Orico CTU3 Series. Устройство позволяет зна...
Обзор Goddess: Primal Chaos. Есть чем ва...
Некоторые мобильные игры нас прямо поражают и напоминают о тех временах, когда мы играли на компьютерах в Lineage 2 и надеяли...
Предварительный обзор Dell XPS 27. Новая...
Компания Dell, одна из немногих кстате, решилась на выпуск моноблока для домашнего использования. Моноблок получил название D...
Обзор Raijintek Thetis Window. Компактны...
Сейчас при общей тенденции внимания к дизайну, на это начали обращать внимание и пользователи, и производители. Но при всей э...
Обзор teXet ТМ-304. Телефон раскладушка ...
Кнопочные телефоны отошли на второй план, встречаются они сейчас не так уж и часто, став нишевым продуктом. Тем не менее, око...
Обзор Lost Socks. История о потерянном н...
Иногда смотришь на рынок игровых продуктов и задаешь себе вопрос о том, когда же будет какая-то достойная игра, захватывающая...
Предварительный обзор Asus VivoPC X. Ком...
В последнее время все больше стали говорить про виртуальную реальность на персональном компьютере, сами игровые компьютеры вс...
Обзор Cooler Master MasterKeys Pro M. Ук...
Cooler Master хорошо известна российским пользователям, она предлагает широкий выбор блоков питания, систем охлаждения и корп...
Предварительный обзор ZTE Blade V8 Pro. ...
Примерно месяц назад начали всплывать характеристики смартфона ZTE Blade V8 Pro, потом появились даже фотографии, которые яко...
Обзор Prestigio Visconte Ecliptica. Сенс...
В 2016 году у нас в «Лаборатории» были рассмотрены новые мобильные платформы Intel в паре с операционной системой Windows 10,...
Предварительный обзор Nokia 6. Мы ждали ...
Релиза новых смартфонов от компании Nokia мы ждали достаточно давно - когда компания обанкротилась и продала свои лицензии и ...
Обзор UMI Plus E. Лучший смартфон до 180...
В октябре прошлого года у нас на тестах был смартфон UMI Plus, получивший награду редакции, как одно из самых лучших предложе...


МегаОбзор
МегаОбзор

2006-2016 © MegaObzor