Пользователи Skype в опасности

2008-01-21, Автор - Freya; Продукт - Skype; [2180]
Исследователи безопасности обнаружили несколько критических уязвимостей в популярном сервисе Skype. Используя простые и довольно замысловатые приемы, злоумышленник может взять полный контроль над атакуемой системой.
Исследователь ИБ Авив Рафф обнаружил и продемонстрировал уязвимость в Skype («межзоновую уязвимость исполнения сценариев», cross-zone scripting vulnerability). Она позволяет при определенных условиях запустить выполнение вредоносного кода и взять контроль над ПК с операционной системой Windows.

Причина уязвимости — проблема в веб-функции Skype. Для отображения HTML-страниц Skype использует движок Internet Explorer. Причем программа запускает движок, находясь в «Локальной зоне» (Local Zone). Это значит, что если хакер внедрит вредоносный код в страницу, которую посещает пользователь Skype, то может взять полный контроль над ПК жертвы.

Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видеофайл на ресурсе DailyMotion (партнер Skype). Предприимчивый хакер может загрузить опасный видеофайл и установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через Skype ищут видеоролики по этому ключевому слову, пишет arstechnica.com.

Петко Петков (Petko Petkov), исследователь ИБ, отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку большого количества вредоносных видеофайлов на файлообменник DailyMotion.

Уязвимость касается последней версии Skype — 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях.

Петков сообщает, что Skype имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE, код будет выполнен в локальной зоне, сообщает techworld.com. Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.

Кроме того, при пользовании Skype в общественных Wi-Fi хот-спотах есть большая вероятность перехвата трафика Skype злоумышленниками.

Исследователи ИБ рекомендуют не использовать поисковик видеофайлов и отключить функцию отображения видео во время звонка, до тех пор, пока Skype не выпустит патч.

Компания Skype пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.

Комментарии:
Последние комментарии на сайте:
Поделиться в социальных сетях:


Инновационный духовой шкаф Hoover KEEPHE...
Инновационный духовой шкаф Hoover KEEPHEHoover KEEPHEAT – революционное решение, созданное для приготовления и горячего хранения пищи с сохранени...
Предварительный обзор Lian Li PC-O11 Dyn...
Предварительный обзор Lian Li PC-O11 DynКорпуса Lian Li всегда были достаточно странными и дорогостоящими. Не всегда понятно по какой причине про...
Предварительный обзор Sharkoon Skiller S...
Предварительный обзор Sharkoon Skiller SВ последнее время игровые кресла стали достаточно популярными, но стоимость этих решений слишком высока, ...
Обзор Dead Rivals. Неплохой шутер...
Обзор Dead Rivals. Неплохой шутерНа примере игры Dead Rivals можно продемонстрировать современные проблемы мобильного рынка приложений раз...
Предварительный обзор Acer Chromebox CXI...
Предварительный обзор Acer Chromebox CXIСтоит сказать, что рынок неттопов в прошлом году постоянно развивался и показывали массу новых решений, н...
Предварительный обзор Misfit Path. Давне...
Предварительный обзор Misfit Path. ДавнеСтоит отметить, что эпоха умных часов прошла, даже не успев толком начаться. Дело в том, что большие комп...
Предварительный обзор ASUS X407 и X507. ...
Предварительный обзор ASUS X407 и X507. Вы удивитесь, но далеко не всем нужны игровые ноутбуки с высокой производительностью или MacBook для рабо...
Обзор Human Evolution. Неплохой такой кл...
Обзор Human Evolution. Неплохой такой клВ последнее время я стал оценивать качество игрового продукта исходя из того, что он мне предоставляет в ...
Общий обзор стенда Candy и Hoover на Eur...
Общий обзор стенда Candy и Hoover на EurДрузья, у нас для вас очень интересный репортаж. наша редакция посетила интересное мероприятие EuroCucina...
Предварительный обзор Jinga Pass. Недоро...
Предварительный обзор Jinga Pass. НедороБольшинство крупных производителей стараются получить со своих смартфонов максимальную прибыль. В принцип...
Обзор Pluszle. Математика на скорость...
Обзор Pluszle. Математика на скоростьСтоит сразу отметить, что игры вроде Pluszle понравятся далеко не всем в силу своей направленности — это ...
Предварительный обзор Xiaomi Black Shark...
Предварительный обзор Xiaomi Black SharkНа протяжении длительного времени в сети говорили об игровом смартфоне компании Xiaomi, но никто точно не...
МегаОбзор
МегаОбзор
MegaObzor в социальных сетях:
Яндекс.Метрика
2006-2018 © MegaObzor