Сервер в кармане, или просто о сложном!

Уязвимость Skype последней версии

07.03.2008 [Источник]

Израильский специалист по вопросам компьютерной безопасности Авив Рафф предупреждает о том, что клиентская программа для работы в сети IP-телефонии Skype теоретически может использоваться злоумышленниками для выполнения произвольного кода на удаленных ПК.

Проблема, выявленная Раффом, связана с тем, что при обработке кода HTML клиент Skype использует компоненты Internet Explorer с недостаточно жесткими настройками защиты. Дело в том, что определенные операции Skype выполняет в локальной зоне безопасности. Данная особенность может использоваться киберпреступниками для несанкционированного запуска программ на машине жертвы, открытия файлов или кражи персональной информации. Британский эксперт Петко Петков утверждает, что провести атаку на пользователей Skype можно через тот или иной веб-сайт с применением методики XSS (Cross-Site Scripting). Так, например, нападение может быть организовано через видеосервис DailyMotion. Для этого злоумышленнику необходимо вынудить потенциальную жертву загрузить сформированный особым образом видеоролик при помощи функции "Add video to chat" клиентской программы Skype.

Проблема актуальна для последней версии Skype с индексом 3.6.0.244 и, возможно, более ранних модификаций программы. Способов устранения ошибки пока не существует. В качестве временной защитной меры эксперты рекомендуют пользователям Skype воздержаться от работы с видео через клиентскую программу сети IP-телефонии.

http://www.gnucitizen.org/blog/vulnerabilities-in-skype


[<<< Следующая новость]  [Все новости]  [Предыдущая новость >>>]