Tags Posts tagged with "miroslav lučinskij"

miroslav lučinskij

przez -
2 392
Skype

Aviv Raff odkrył dziurę w Skype dla Windows, która może umożliwić zdalne wykonanie kodu. Błąd dotyczy wersji 3.6.0.244 oraz najprawdopodobniej wcześniejszych. Błąd jest przyczyną złego renderowania kodu HTML. Niektóre okienka aplikacji Skype korzystają z kontrolek Internet Explorera. Jak się okazuje, kontrolka ta działa w lokalnej – najmniej bezpiecznej strefie zabezpieczeń.

Problem powstaje kiedy atakujący wstrzyknie własny kod HTML do kontrolki przy wykorzystaniu innej luki. Sprawdził to Miroslav Lučinskij. Udało mu się za pomocą funkcji dodawania wideo do chatu oraz pola tytułu filmu. Atakujący musi potem wysłać film i otagować go popularnymi słowami. Taki film zostanie szybko odnaleziony przez użytkowników, a zawarty w nim szkodliwy kod wykona się na komputerach oglądających.

Aviv Raff przygotował również prosty filmik pokazujący wykorzystanie luki. Preparując kod, uruchamia kalkulator.

[flash http://www.youtube.com/v/FcuQrLZ4AU0 h=355 w=425]

Polecane

PyCode-conference

0 705
Pythonowi wyjadacze, pasjonaci języka i mierzący wysoko początkujący programiści - 1-2 października musicie się wszyscy znaleźć w Centrum Konferencyjnym Kopernik w Warszawie, gdzie rozpocznie...
vlc

0 852