В «Skype» нашли дырки
Несколько критических уязвимостей обнаружили исследователи в популярном сервисе «Skype». Их наличие, передает «CNews.ru», теоретически позволяет злоумышленнику с помощью ряда приемов различной степени сложности установить контроль над атакуемой системой.
Исследователь ИБ Авив Рафф обнаружил в «Skype» и продемонстрировал уязвимость («межзоновую уязвимость исполнения сценариев», cross-zone scripting vulnerability), позволяющую при определенных условиях запустить выполнение вредоносного кода и взять контроль над компьютером с операционной системой «Windows». Причина уязвимости — проблема в веб-функции «Skype», который для отображения HTML-страниц использует движок Internet Explorer. Причем программа запускает движок, находясь в «Локальной зоне» (Local Zone, то есть если хакер внедрит вредоносный код в страницу, которую посещает пользователь «Skype», то может взять полный контроль над компьютером жертвы. Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видеофайл на ресурсе «DailyMotion» (партнер «Skype»). Предприимчивый хакер может загрузить опасный видеофайл, установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через «Skype» ищут видеоролики по даному ключевому слову, пишет «Arstechnica.com».
Исследователь ИБ Петко Петков отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку множества вредоносных видеофайлов на файлообменник «DailyMotion».
Уязвимость касается последней версии «Skype» — 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях. Петков сообщает, что «Skype» имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE код будет выполнен в локальной зоне, сообщает «Techworld.com». Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.
Кроме того, при пользовании «Skype» в общественных Wi-Fi хот-спотах есть большая вероятность перехвата злоумышленниками трафика «Skype».
Исследователи рекомендуют не использовать поисковик видеофайлов и отключить функцию отображения видео во время звонка, до тех пор, пока «Skype» не выпустит патч.
Компания «Skype» пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.
Источник:
Ещё рекомендуем прочитать:
Видео в формате .вики
Пан Вотруба плохого не посоветует
Разработана концепция Web 3.0
«Linux PC» за 199 долларов
«Windows ХР» спасают всем миром
| К списку статей |
