Использование Skype может быть небезопасно
На модерации
Отложенный
Злоумышленники могут использовать бреши в безопасности популярного программного обеспечения Skype для захвата компьютера под управлением операционных систем Windows.
Известный исследователь из Израиля Авив Рафф (Aviv Raff) обнаружил уязвимость, которую назвал «межзоновая уязвимость исполнения сценариев» («cross-zone scripting vulnerability»). Данная ошибка в программном обеспечении Skype может быть использована хакерами с помощью видео-файла, сформированного специальным образом.
Как известно, Skype использует движок браузера Internet Explorer для отображения HTML-страниц. Но Skype запускает движок браузера, находясь в Локальной Зоне (Local Zone). А следовательно, если злоумышленник внедрит вредоносный сценарий в любую из этих HTML-страниц, он сможет полностью завладеть машиной, исполняющей сценарий.
В качестве демонстрации, Рафф разместил опасный видео-файл на файлообменник DailyMotion (являющийся партнером Skype). С данного ресурса загружается видео при совершении звонка, что может привести к выполнению вредоносного кода.
Злоумышленник может загрузить видео-файл, установить для него популярное ключевое слово, например, Пэрис Хилтон (Paris Hilton) и получить доступ к любой машине пользователя, который ищет видео по данным ключевым словам через систему Skype.
Исследователь уязвимостей компьютерных систем из Англии, Петко Петков (Petko Petkov), являющийся одним из лидеров группы GNUCITIZEN, проверил, насколько легко может быть проведена атака.
Методика атаки несколько замысловата, но вполне может быть повторена на практике. Наиболее очевидные методы атаки - использование социальной инженерии или загрузка огромного количества зараженных видео-файлов на DailyMotion.
Петков также отмечает, что система Skype подвержена и другим уязвимостям, например при отображении рекламы. С помощью таких утилит, как Airpwn или Karma (снифферы беспроводных сетей), злоумышленник может легко перехватить указанные рекламные блоки и подменить их подготовленными заранее. При отображении в браузере Internet Explorer, вредоносный код будет выполнен в зоне с низким уровнем безопасности, что позволит «плохим парням» завладеть машиной. Этот тип атаки легко выполним и не требует особой подготовки.
Петков советует воздержаться от пользования системой Skype в точках публичного доступа к сетям Wi-Fi, поскольку в подобной ситуации злоумышленник в состоянии легко перехватывать весь трафик программы Skype.
Как Рафф, так и Петков советуют пользователям системы Skype отказаться от поиска видео-файлов и не использовать возможность отображения видео при звонке до тех пор, пока Skype не выпустит «заплатку».
Skype пока не выложила какой-либо информации об уязвимости на странице, посвященной безопасности, также нет никаких упоминаний и на форуме технической поддержки.
Комментарии