reklama

Dziura w Skype

Strona główna Aktualności

O autorze

Aviv Raff odkrył dziurę w Skype dla Windows, która może umożliwić zdalne wykonanie kodu.

Do renderowania kodu HTML w niektórych okienkach Skype używa kontrolki Internet Explorera. Jak się okazuje, kontrolka ta działa w lokalnej, a więc najmniej bezpiecznej strefie zabezpieczeń. Samo w sobie nie jest to jeszcze problemem. Gorzej jednak jeśli atakującemu uda się wstrzyknąć własny kod HTML do kontrolki przy wykorzystaniu innej luki. Jak sprawdził Miroslav Lučinskij jest to możliwe za pomocą funkcji dodawania wideo do chatu i pola tytułu filmu. Atakujący musi potem wysłać film i otagować go popularnymi słowami. Dzięki temu użytkownicy szukający filmu odnajdą go a zawarty w nim szkodliwy kod wykona się.

Dziura istnieje w wersji 3.6.0.244 i zapewne wcześniejszych. Dostępny jest film prezentujący atak.

© dobreprogramy
reklama

Komentarze

reklama
Polecamy w WP TechnologieWP TechnologieNie wiemy, co jemy - państwowe badania to kropla w morzu. Projekt FoodRentgen chce to zmienić