Пользователи Skype в опасности

2008-01-21, Автор - Freya; Продукт - Skype; [1943]
Исследователи безопасности обнаружили несколько критических уязвимостей в популярном сервисе Skype. Используя простые и довольно замысловатые приемы, злоумышленник может взять полный контроль над атакуемой системой.
Исследователь ИБ Авив Рафф обнаружил и продемонстрировал уязвимость в Skype («межзоновую уязвимость исполнения сценариев», cross-zone scripting vulnerability).
Она позволяет при определенных условиях запустить выполнение вредоносного кода и взять контроль над ПК с операционной системой Windows.

Причина уязвимости — проблема в веб-функции Skype. Для отображения HTML-страниц Skype использует движок Internet Explorer. Причем программа запускает движок, находясь в «Локальной зоне» (Local Zone). Это значит, что если хакер внедрит вредоносный код в страницу, которую посещает пользователь Skype, то может взять полный контроль над ПК жертвы.

Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видеофайл на ресурсе DailyMotion (партнер Skype). Предприимчивый хакер может загрузить опасный видеофайл и установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через Skype ищут видеоролики по этому ключевому слову, пишет arstechnica.com.

Петко Петков (Petko Petkov), исследователь ИБ, отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку большого количества вредоносных видеофайлов на файлообменник DailyMotion.

Уязвимость касается последней версии Skype — 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях.

Петков сообщает, что Skype имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE, код будет выполнен в локальной зоне, сообщает techworld.com. Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.

Кроме того, при пользовании Skype в общественных Wi-Fi хот-спотах есть большая вероятность перехвата трафика Skype злоумышленниками.

Исследователи ИБ рекомендуют не использовать поисковик видеофайлов и отключить функцию отображения видео во время звонка, до тех пор, пока Skype не выпустит патч.

Компания Skype пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.

Комментарии:
Последние комментарии на сайте:
Поделиться в социальных сетях:


Предварительный обзор Dell UltraSharp 38...
Предварительный обзор Dell UltraSharp 38Официально представлен монитор Dell UltraSharp 38 Curved, который создавался и реализовывался исключитель...
Мегафон готовит сети 4G к пятикратному у...
Мегафон готовит сети 4G к пятикратному уБыстрая скорость загрузки файлов, страниц, видеороликов на смартфонах стала привычным делом. Мобильный ин...
Обзор Sudden Strike 4. Превью крутой стр...
Обзор Sudden Strike 4. Превью крутой стрСовременный рынок компьютерных игр просто перенасыщен теми играми, которые банально приносят прибыль - ус...
Предварительный обзор Microsoft Xbox One...
Предварительный обзор Microsoft Xbox OneАнонс новой консоли Microsoft Xbox One X не стал большой новостью - многие ожидали новинку, в сети было м...
Предварительный обзор OnePlus 5. Новинка...
Предварительный обзор OnePlus 5. НовинкаМы достаточно давно слушали и фильтровали слухи о смартфоне OnePlus 5, достаточно долго ждали первых фото...
Обзор Sonic Surfer. Очень красивая игруш...
Обзор Sonic Surfer. Очень красивая игрушБольшинство современных казуальных игр делаются с прицелом на быструю прибыль - добавляют массу рекламы, ...
Обзор ParkFace. Прогулки станут веселее...
Обзор ParkFace. Прогулки станут веселееПроблема поиска места для прогулки или свидания - извечна. Зимой и летом парни тратят массу времени на то...
Предварительный обзор ZTE V870. Недорого...
Предварительный обзор ZTE V870. НедорогоБольшинство современных смартфонов на рынке среднего уровня совершенно не радуют - сейчас производители л...
Предварительный обзор Blackview BV8000 P...
Предварительный обзор Blackview BV8000 PВсе мы знаем, что большинство смартфонов с защищенным корпусом имеют слабую начинку. Дело в том, что прои...
Обзор Okko. Смотреть фильмы стало проще...
Обзор Okko. Смотреть фильмы стало прощеРынок сервисов для просмотра фильмов по сети с телефона или планшета достаточно развит и вариантов много,...
Обзор Extreme Splash Water. Худшая игра ...
Обзор Extreme Splash Water. Худшая игра Я очень редко пишу обзоры на плохие игры, так как это немного не тот контент, который наши посетители хот...
Предварительный обзор Huawei Y7 Prime. Н...
Предварительный обзор Huawei Y7 Prime. НАбсолютное большинство современных смартфонов привлекает пользователей своей стоимостью. Давайте не будем...
МегаОбзор
МегаОбзор
MegaObzor в социальных сетях:
Яндекс.Метрика
2006-2017 © MegaObzor