Пользователи Skype в опасности

, Автор - ; Продукт - Skype; [1744]
Исследователи безопасности обнаружили несколько критических уязвимостей в популярном сервисе Skype. Используя простые и довольно замысловатые приемы, злоумышленник может взять полный контроль над атакуемой системой.
Исследователь ИБ Авив Рафф обнаружил и продемонстрировал уязвимость в Skype («межзоновую уязвимость исполнения сценариев», cross-zone scripting vulnerability). Она позволяет при определенных условиях запустить выполнение вредоносного кода и взять контроль над ПК с операционной системой Windows.

Причина уязвимости — проблема в веб-функции Skype. Для отображения HTML-страниц Skype использует движок Internet Explorer. Причем программа запускает движок, находясь в «Локальной зоне» (Local Zone). Это значит, что если хакер внедрит вредоносный код в страницу, которую посещает пользователь Skype, то может взять полный контроль над ПК жертвы.

Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видеофайл на ресурсе DailyMotion (партнер Skype). Предприимчивый хакер может загрузить опасный видеофайл и установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через Skype ищут видеоролики по этому ключевому слову, пишет arstechnica.com.

Петко Петков (Petko Petkov), исследователь ИБ, отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку большого количества вредоносных видеофайлов на файлообменник DailyMotion.

Уязвимость касается последней версии Skype — 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях.

Петков сообщает, что Skype имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE, код будет выполнен в локальной зоне, сообщает techworld.com. Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.

Кроме того, при пользовании Skype в общественных Wi-Fi хот-спотах есть большая вероятность перехвата трафика Skype злоумышленниками.

Исследователи ИБ рекомендуют не использовать поисковик видеофайлов и отключить функцию отображения видео во время звонка, до тех пор, пока Skype не выпустит патч.

Компания Skype пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.

Поделиться в социальных сетях:


Предварительный обзор Meizu M3X. Смартфо...
Компания Meizu не перестает удивлять нас своими новыми мобильными телефонами. Только недавно был показан флагман, как компани...
Обзор Cactus CS-PBAS120-2600 - бюджетный...
Сегодня мы бы хотели представить вашему вниманию бюджетный Powerbank Cactus CS-PBAS120-2600, позволяющее быстро подзарядить с...
NAIM и Neat представили премиальное музы...
На днях, в Резиденции посла Великобритании, компании Naim UNITI и Neat, известные своим аудиофильским оборудованием представи...
HP представила безкартриджные струйные п...
Эра струйных принтеров постепенно уходит в небытие, уступая дорогу лазерным коллегам. Тем же, кто не может отказаться от цвет...
Обзор Chef's Quest. Поехали готовить!...
Иногда возникает желание поиграть во что-то простое, легкое и не агрессивное. Да, сегодня очень мало игр на мобильные телефон...
Предварительный обзор Cool1C. Новинка от...
В августе этого года компании LeEco и Coolpad показали первую свою совместную работу - смартфон Cool1. Он оказался вполне усп...
Обзор ASRock H110M-ITX/ac. Оптимальная м...
С момента появления процессоров поколения Intel Skylake-S прошло уже больше года. За это время мы познакомили вас с наиболее ...
Обзор Archery King. Реальная стрельба из...
Очень редко спортивные симуляторы для мобильного телефона или планшета получаются добротными - это факт. Только посмотрите на...
Предварительный обзор HTC Desire 650. Ре...
Компания HTC опровергла тот слух, что она продает свое мобильное подразделение и выпустила смартфон под названием HTC Desire ...
Обзор Dunobil Ratione. Комбо видеорегист...
В текущих реалиях российских дорог выходить на дорогу без видеорегистратора рискованно и опрометчиво. Еще одним незаменимым п...
Крис Пратт в Москве...
Звезда «Стражей Галактики» Крис Пратт (Chris Pratt) в это воскресенье посетил Москву рамках промо-компании фильма «Пассажиры...
Обзор Sketches Pro. Рисовать стало прият...
Приложений для рисования на мобильном телефоне достаточно много, это факт, но далеко не все эти приложения стоят вашего внима...


МегаОбзор
МегаОбзор

2006-2016 © MegaObzor