SKY-net

Израильский специалист по вопросам компьютерной безопасности Авив Рафф предупреждает о том, что клиентская программа для работы в сети IP-телефонии Skype теоретически может использоваться злоумышленниками для выполнения произвольного кода на удаленных ПК.

Проблема, выявленная Раффом, связана с тем, что при обработке кода HTML клиент Skype использует компоненты Internet Explorer с недостаточно жесткими настройками защиты. Дело в том, что определенные операции Skype выполняет в локальной зоне безопасности. Данная особенность может использоваться киберпреступниками для несанкционированного запуска программ на машине жертвы, открытия файлов или кражи персональной информации.

Британский эксперт Петко Петковутверждает, что провести атаку на пользователей Skype можно через тот или иной веб-сайт с применением методики XSS (Cross-Site Scripting). Так, например, нападение может быть организовано через видеосервис DailyMotion. Для этого злоумышленнику необходимо вынудить потенциальную жертву загрузить сформированный особым образом видеоролик при помощи функции "Add video to chat" клиентской программы Skype.

Проблема актуальна для последней версии Skype с индексом 3.6.0.244 и, возможно, более ранних модификаций программы. Способов устранения ошибки пока не существует. В качестве временной защитной меры эксперты рекомендуют пользователям Skype воздержаться от работы с видео через клиентскую программу сети IP-телефонии.

www.securitylab.ru

Опубликовано 22.01.2008 10:06 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Опубликован эксплоит для Skype
• В клиенте Skype последней версии выявлена серьёзная уязвимость
• PlayStation получила поддержку Skype
• В Skype обнаружена уязвимость
• XSS уязвимость в технологии интеграции Facebook и Skype устранена