Dziura w Skype

Dziura w Skype

    przez -
    2 240
    Skype
    Aviv Raff odkrył dziurę w Skype dla Windows, która może umożliwić zdalne wykonanie kodu. Błąd dotyczy wersji 3.6.0.244 oraz najprawdopodobniej wcześniejszych. Błąd jest przyczyną złego renderowania kodu HTML. Niektóre okienka aplikacji Skype korzystają z kontrolek Internet Explorera. Jak się okazuje, kontrolka ta działa w lokalnej – najmniej bezpiecznej strefie zabezpieczeń.

    Problem powstaje kiedy atakujący wstrzyknie własny kod HTML do kontrolki przy wykorzystaniu innej luki. Sprawdził to Miroslav Lučinskij. Udało mu się za pomocą funkcji dodawania wideo do chatu oraz pola tytułu filmu. Atakujący musi potem wysłać film i otagować go popularnymi słowami. Taki film zostanie szybko odnaleziony przez użytkowników, a zawarty w nim szkodliwy kod wykona się na komputerach oglądających.

    Aviv Raff przygotował również prosty filmik pokazujący wykorzystanie luki. Preparując kod, uruchamia kalkulator.

    [flash http://www.youtube.com/v/FcuQrLZ4AU0 h=355 w=425]

    • podobny motyw byl z Konnektem i extensions w IE (mozliwosc dodawania JS do CSS)

    • Był :) Czytałem gdzieś na czyimś joggerze ;-)