Поделиться
Пользователей Skype можно атаковать через SkypeFind
Skype недавно выпустила патч для устранения уязвимости. Однако исследователь безопасности, который уже обнаружил несколько ошибок в Skype, например, «межзоновую уязвимость исполнения сценариев» (cross-zone scripting vulnerabilitie) и проблемы с обработкой видеофайлов, утверждает, что платформа VoIP по-прежнему уязвима – на этот раз проблема в функции SkypeFind.
Через SkypeFind можно получить список фирм и компаний, которые рекомендуются пользователями VoIP-клиента. В Skype можно получить доступ к адресам таких компаний. Хакер может взять частичный контроль и использовать имя рецензента для того, чтобы вместо рекомендации отправить ссылку на вредоносный скрипт. С помощью этих манипуляций злоумышленник может внедрить в систему жертвы вредоносное ПО, сообщается на сайте theregister.co.uk.
«Атакующий может внедрить вредоносный скрипт в поле Full Name, и, когда жертва будет просматривать рекомендованные компании в окне SkypeFind, вредоносный скрипт будет выполнен в открытой локальнй зоне», - предупреждает исследователь безопасности Авив Рафф (Aviv Raff), который сыграл не последнюю роль в обнаружении предыдущей уязвимости Skype.
В Skype заявили, что уязвимость крайне трудно эксплуатировать. Поэтому нет необходимости обновлять клиентское ПО.
Короткая ссылка
