Пользователи Skype в опасности

, Автор - ; Продукт - Skype; [1805]
Исследователи безопасности обнаружили несколько критических уязвимостей в популярном сервисе Skype. Используя простые и довольно замысловатые приемы, злоумышленник может взять полный контроль над атакуемой системой.
Исследователь ИБ Авив Рафф обнаружил и продемонстрировал уязвимость в Skype («межзоновую уязвимость исполнения сценариев», cross-zone scripting vulnerability). Она позволяет при определенных условиях запустить выполнение вредоносного кода и взять контроль над ПК с операционной системой Windows.

Причина уязвимости — проблема в веб-функции Skype. Для отображения HTML-страниц Skype использует движок Internet Explorer. Причем программа запускает движок, находясь в «Локальной зоне» (Local Zone). Это значит, что если хакер внедрит вредоносный код в страницу, которую посещает пользователь Skype, то может взять полный контроль над ПК жертвы.

Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видеофайл на ресурсе DailyMotion (партнер Skype). Предприимчивый хакер может загрузить опасный видеофайл и установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через Skype ищут видеоролики по этому ключевому слову, пишет arstechnica.com.

Петко Петков (Petko Petkov), исследователь ИБ, отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку большого количества вредоносных видеофайлов на файлообменник DailyMotion.

Уязвимость касается последней версии Skype — 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях.

Петков сообщает, что Skype имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE, код будет выполнен в локальной зоне, сообщает techworld.com. Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.

Кроме того, при пользовании Skype в общественных Wi-Fi хот-спотах есть большая вероятность перехвата трафика Skype злоумышленниками.

Исследователи ИБ рекомендуют не использовать поисковик видеофайлов и отключить функцию отображения видео во время звонка, до тех пор, пока Skype не выпустит патч.

Компания Skype пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.

Поделиться в социальных сетях:


Обзор ASUS ROG MAXIMUS IX HERO. Материнс...
Выход нового чипсета привел к обновлению популярной среди энтузиастов и оверклокеров линейки Republic of Gamers. По опыту про...
Обзор Diluvion. Подводное приключение...
Diluvion - приключение по мотивам романов Жюля Верна в трехмерном подводном мире от разработчиков из Arachnid Games. Игра выш...
Обзор SC Heroes. Нешуточные сражения...
Создавать казуальные игры нынче стало очень сложно - игроки стали слишком много требовать от проектов, а платить не хотят сов...
Предварительный обзор BLU Tank Xtreme 5....
Причиной появления такого большого количества недорогих защищенных смартфонов очень проста. Намного дешевле для производителя...
Обзор Harper HB-115. Беспроводные наушни...
Сегодня у нас на тесте интересная модель беспроводных наушников от компании Harper, которая больше всего подойдет для тех пол...
Обзор AeroCool Dead Silence 230. Тихий к...
Линейка Dead Silence у Aerocool, как можно догадаться из названия, сделана с упором на максимальную тишину работающей системы...
Обзор Tiles and Tales. Очень странная иг...
Зачастую, казуальные игры цепляют игрокам либо интересной идеей, либо качественным исполнением определенного жанра, либо чем-...
Предварительный обзор NEC MultiSync EX34...
Еще, наверное, лет пять назад мониторы с диагональю в 24-27 дюймов казались огромными, а сегодня вот выпущен монитор NEC Mult...
Обзор игровой гарнитуры Oklick HS-L310G ...
Сегодня мы бы хотели представить вашему вниманию игровую компьютерную гарнитуру Oklick HS-L310G GUARDIAN, получившая интересн...
Обзор be quiet! DARK ROCK TF. Эффективны...
Задачи, когда ограничиваются возможности по установке радиатора башенной системы охлаждения в корпуса, сейчас встречаются нер...
Обзор Battlefield 1. Шутер года или нет?...
После определенного провала Call of Duty, многие пользователи сделали ставку на предстоящий релиз Battlefield 1 и ждали от пр...
Предварительный обзор LG Watch Style. Ча...
Часы LG Watch Style и LG Watch Sport являются продуктом деятельности компании LG и Google, которые вместе попытались вывести ...

МегаОбзор
МегаОбзор

2006-2017 © MegaObzor