Пользователей Skype можно атаковать через SkypeFind
Дата: 05.02.2008Источник: Cnews.ru
Skype недавно выпустила патч для устранения уязвимости. Однако исследователь безопасности, который уже обнаружил несколько ошибок в Skype, например, «межзоновую уязвимость исполнения сценариев» (cross-zone scripting vulnerabilitie) и проблемы с обработкой видеофайлов, утверждает, что платформа VoIP по-прежнему уязвима – на этот раз проблема в функции SkypeFind.Через SkypeFind можно получить список фирм и компаний, которые рекомендуются пользователями VoIP-клиента. В Skype можно получить доступ к адресам таких компаний. Хакер может взять частичный контроль и использовать имя рецензента для того, чтобы вместо рекомендации отправить ссылку на вредоносный скрипт. С помощью этих манипуляций злоумышленник может внедрить в систему жертвы вредоносное ПО.
«Атакующий может внедрить вредоносный скрипт в поле Full Name, и, когда жертва будет просматривать рекомендованные компании в окне SkypeFind, вредоносный скрипт будет выполнен в открытой локальнй зоне», - предупреждает исследователь безопасности Авив Рафф (Aviv Raff), который сыграл не последнюю роль в обнаружении предыдущей уязвимости Skype.
В Skype заявили, что уязвимость крайне трудно эксплуатировать. Поэтому нет необходимости обновлять клиентское ПО.
| Добавить комментарий |
| Всего 0 комментариев |
