Dziura w Skype

Strona głównaDziura w Skype
21.01.2008 07:24
Grzegorz Niemirowski
Grzegorz Niemirowski

Aviv Raff odkrył dziurę w Skype dla Windows, która możeumożliwić zdalne wykonanie kodu. Do renderowania kodu HTML w niektórych okienkach Skype używakontrolki Internet Explorera. Jak się okazuje, kontrolka ta działaw lokalnej, a więc najmniej bezpiecznej strefie zabezpieczeń. Samow sobie nie jest to jeszcze problemem. Gorzej jednak jeśliatakującemu uda się wstrzyknąć własny kod HTML do kontrolki przywykorzystaniu innej luki. Jak sprawdził Miroslav Lučinskij jest tomożliwe za pomocą funkcji dodawania wideo do chatu i pola tytułufilmu. Atakujący musi potem wysłać film i otagować go popularnymisłowami. Dzięki temu użytkownicy szukający filmu odnajdą go azawarty w nim szkodliwy kod wykona się. Dziura istnieje w wersji 3.6.0.244 i zapewne wcześniejszych.Dostępny jest filmprezentujący atak.

Udostępnij:
Wybrane dla Ciebie
Komentarze (45)