Пользователи Skype в опасности

2008-01-21, Автор - Freya; Продукт - Skype; [2129]
Исследователи безопасности обнаружили несколько критических уязвимостей в популярном сервисе Skype. Используя простые и довольно замысловатые приемы, злоумышленник может взять полный контроль над атакуемой системой.
Исследователь ИБ Авив Рафф обнаружил и продемонстрировал уязвимость в Skype («межзоновую уязвимость исполнения сценариев», cross-zone scripting vulnerability). Она позволяет при определенных условиях запустить выполнение вредоносного кода и взять контроль над ПК с операционной системой Windows.

Причина уязвимости — проблема в веб-функции Skype. Для отображения HTML-страниц Skype использует движок Internet Explorer. Причем программа запускает движок, находясь в «Локальной зоне» (Local Zone). Это значит, что если хакер внедрит вредоносный код в страницу, которую посещает пользователь Skype, то может взять полный контроль над ПК жертвы.

Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видеофайл на ресурсе DailyMotion (партнер Skype). Предприимчивый хакер может загрузить опасный видеофайл и установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через Skype ищут видеоролики по этому ключевому слову, пишет arstechnica.com.

Петко Петков (Petko Petkov), исследователь ИБ, отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку большого количества вредоносных видеофайлов на файлообменник DailyMotion.

Уязвимость касается последней версии Skype — 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях.

Петков сообщает, что Skype имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE, код будет выполнен в локальной зоне, сообщает techworld.com. Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.

Кроме того, при пользовании Skype в общественных Wi-Fi хот-спотах есть большая вероятность перехвата трафика Skype злоумышленниками.

Исследователи ИБ рекомендуют не использовать поисковик видеофайлов и отключить функцию отображения видео во время звонка, до тех пор, пока Skype не выпустит патч.

Компания Skype пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.

Комментарии:
Последние комментарии на сайте:
Поделиться в социальных сетях:


Предварительный обзор Moviphone. Телефон...
Предварительный обзор Moviphone. ТелефонИдея встроить в мобильный телефон проектор уже не первый раз приходит в голову инженерам, но вот популярн...
Обзор спецоперации "Припять" в Warface...
Обзор спецоперации Несмотря на то, что я большой фанат PvP режимов в игре Warface, разработчики так же радуют новыми спецопе...
Предварительный обзор Razer Project Lind...
Предварительный обзор Razer Project LindПрежде, чем вы начнете говорить о том, что данный ноутбук выглядит нереальным и что его никогда не выпуст...
Обзор World of Warships Blitz. Лучшая мо...
Обзор World of Warships Blitz. Лучшая моНаверное, я никого не удивлю, если скажу, что компания Wargaming является ярким примером того, как можно ...
Предварительный обзор Dell Alienware AW3...
Предварительный обзор Dell Alienware AW3Когда впервые видишь монитор Alienware AW3418HW на фотографиях или вживую, то первая мысль в голове лишь ...
Обзор DQ Heroes. Игра на длительное врем...
Обзор DQ Heroes. Игра на длительное времНесмотря на развитость мобильных игр и большие возможности любого современного смартфона, разработчики иг...
Предварительный обзор Cooler Master Mast...
Предварительный обзор Cooler Master MastКомпьютерный корпус - достаточно важная составляющая вашего настольного ПК, хотя многие и пренебрегают им...
Обзор Elmedia Player. Красиво и удобно...
Обзор Elmedia Player. Красиво и удобноПлееры для просмотра фильмов и сериалов на компьютере в последнее время утратили свою популярность, плюс ...
Предварительный обзор Cooler Master COSM...
Предварительный обзор Cooler Master COSMКомпьютерный корпус является лишь каркасом для сборки компьютера в определенном диапазоне бюджета - если ...
Обзор Psebay. Красивые гонки...
Обзор Psebay. Красивые гонкиВ большинстве случаем я говорю о том, что мобильные игры совершенно не обязаны быть красивыми - вы вполне...
Обзор RIVA case 8460 Black. Ультимейт ре...
Обзор RIVA case 8460 Black. Ультимейт реВступление На протяжении своего дня я активно использую массу разных устройств, которые должны ...
Обзор ORICO QSE-5U-EU-BK. Умное зарядное...
Обзор ORICO QSE-5U-EU-BK. Умное зарядноеПрактически у каждого человека в пользовании есть сразу несколько мобильных устройств, которые частенько ...
МегаОбзор
МегаОбзор
MegaObzor в социальных сетях:
Яндекс.Метрика
2006-2018 © MegaObzor