Пользователи Skype в опасности

2008-01-21, Автор - Freya; Продукт - Skype; [2067]
Исследователи безопасности обнаружили несколько критических уязвимостей в популярном сервисе Skype. Используя простые и довольно замысловатые приемы, злоумышленник может взять полный контроль над атакуемой системой.
Исследователь ИБ Авив Рафф обнаружил и продемонстрировал уязвимость в Skype («межзоновую уязвимость исполнения сценариев», cross-zone scripting vulnerability). Она позволяет при определенных условиях запустить выполнение вредоносного кода и взять контроль над ПК с операционной системой Windows.

Причина уязвимости — проблема в веб-функции Skype. Для отображения HTML-страниц Skype использует движок Internet Explorer. Причем программа запускает движок, находясь в «Локальной зоне» (Local Zone). Это значит, что если хакер внедрит вредоносный код в страницу, которую посещает пользователь Skype, то может взять полный контроль над ПК жертвы.

Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видеофайл на ресурсе DailyMotion (партнер Skype). Предприимчивый хакер может загрузить опасный видеофайл и установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через Skype ищут видеоролики по этому ключевому слову, пишет arstechnica.com.

Петко Петков (Petko Petkov), исследователь ИБ, отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку большого количества вредоносных видеофайлов на файлообменник DailyMotion.

Уязвимость касается последней версии Skype — 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях.

Петков сообщает, что Skype имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE, код будет выполнен в локальной зоне, сообщает techworld.com. Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.

Кроме того, при пользовании Skype в общественных Wi-Fi хот-спотах есть большая вероятность перехвата трафика Skype злоумышленниками.

Исследователи ИБ рекомендуют не использовать поисковик видеофайлов и отключить функцию отображения видео во время звонка, до тех пор, пока Skype не выпустит патч.

Компания Skype пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.

Комментарии:
Последние комментарии на сайте:
Поделиться в социальных сетях:


Предварительный обзор ZTE Nubia Z17S. Сл...
Предварительный обзор ZTE Nubia Z17S. СлЕще лет пять назад китайские компании заметно отставали от известях брендов вроде Samsung или Apple по це...
Предварительный обзор Casio G’Z Eye. Нов...
Предварительный обзор Casio G’Z Eye. НовАнонс экшн-камеры Casio GZE-1 стал большой новостью на рынке - все знают, насколько компания надежная и н...
Предварительный обзор Rosewill Nebula GX...
Предварительный обзор Rosewill Nebula GXНовые игроки на рынке игровой периферии встречаются очень редко и обычно это какие-то китайские бренды, к...
Обзор The Journey Down: Chapter Two. Про...
Обзор The Journey Down: Chapter Two. ПроМы уже рассказали вам о первой части The Journey Down, которая попала нам в руки совсем недавно. Игра мен...
Wargaming перезапустили «World of Warpla...
Wargaming перезапустили «World of WarplaСерия проектов, посвященных Второй мировой войне от белорусской компании Wargaming еще изначально задумыв...
Предварительный обзор Huawei Honor Water...
Предварительный обзор Huawei Honor WaterНесмотря на то, что защита от влаги и пыли для большинства современных смартфонов это уже норма, а не как...
Обзор The Room. Давайте подумаем...
Обзор The Room. Давайте подумаемСкажу честно и открыто - игра The Room мне дико понравилась и дело даже не в том, что это крутая головоло...
Предварительный обзор ASUS VivoBook X207...
Предварительный обзор ASUS VivoBook X207В последнее время действительно интересных ноутбуков никто не показывает - компании привыкли демонстриров...
Обзор The Evil Within 2. Тревожно до дро...
Обзор The Evil Within 2. Тревожно до дроРазработчики игры The Evil Within 2 удачно подобрали время для релиза - на PC она вышла в пятницу 13 числ...
Предварительный обзор Vernee M5. Лучший ...
Предварительный обзор Vernee M5. Лучший В последнее время мы стали замечать, что грань между качеством устройств титанов рынка и менее больших пр...
Обзор ELEX. Шедевр не только для фанатов...
Обзор ELEX. Шедевр не только для фанатовНесмотря на то, что с проектами студии Piranha Bytes я знаком достаточно давно, назвать себя прямо ярым ф...
Предварительный обзор Google Pixelbook. ...
Предварительный обзор Google Pixelbook. Официальный анонс ноутбука Google Pixelbook произвел небольшой фурор в интернете, ведь пользователи дейст...
МегаОбзор
МегаОбзор
MegaObzor в социальных сетях:
Яндекс.Метрика
2006-2017 © MegaObzor