Skype недавно выпустила патч для устранения уязвимости. Однако исследователь безопасности, который уже обнаружил несколько ошибок в Skype, например, «межзоновую уязвимость исполнения сценариев» (cross-zone scripting vulnerabilitie) и проблемы с обработкой видеофайлов, утверждает, что платформа VoIP по-прежнему уязвима – на этот раз проблема в функции SkypeFind.

Через SkypeFind можно получить список фирм и компаний, которые рекомендуются пользователями VoIP-клиента. В Skype можно получить доступ к адресам таких компаний. Хакер может взять частичный контроль и использовать имя рецензента для того, чтобы вместо рекомендации отправить ссылку на вредоносный скрипт. С помощью этих манипуляций злоумышленник может внедрить в систему жертвы вредоносное ПО, сообщается на сайте theregister.co.uk.

«Атакующий может внедрить вредоносный скрипт в поле Full Name, и, когда жертва будет просматривать рекомендованные компании в окне SkypeFind, вредоносный скрипт будет выполнен в открытой локальнй зоне», - предупреждает исследователь безопасности Авив Рафф (Aviv Raff), который сыграл не последнюю роль в обнаружении предыдущей уязвимости Skype.

В Skype заявили, что уязвимость крайне трудно эксплуатировать. Поэтому нет необходимости обновлять клиентское ПО.

safe.cnews.ru

Последняя модификация: 4 Февраль, 2008