Перейти к содержанию

Рекомендуемые сообщения

Исследователь безопасности из Vulnerability Lab Бенжамин Кунц Межри обнаружил уязвимость в Skype, позволяющую вызвать переполнение буфера в стеке. Хуже всего то, что для ее эксплуатации не нужно участие пользователя, и атакующий может вызвать аварийное завершение работы приложения или даже выполнить на системе вредоносный код. Проблема затрагивает только десктопный клиент Skype версий 7.2, 7.35 и 7.36.

Уязвимость (CVE-2017-9948) существует из-за ошибки в библиотеке MSFTEDIT.DLL, позволяющей злоумышленнику скопировать файл с вредоносным изображением в буфер обмена, а затем вставить в окно диалога в Skype. Присутствие изображения на локальной и на удаленной системах вызовет переполнения буфера и как следствие – аварийное завершение работы приложения и готовый плацдарм для дальнейшего использования эксплоитов.

Как пояснил Межри, атаки не ограничиваются только эксплуатацией вручную. Атакующий может подготовить кэш и буфер обмена на локальной системе для атаки на удаленную подключенную систему, использующую Skype. Как уже упоминалось, для успешной атаки не нужно участие пользователя и достаточно лишь наличия учетной записи пользователя Skype с низким уровнем привилегий.

Microsoft исправила уязвимость 8 июня текущего с выходом версии Skype 7.37.178. Межри уведомил производителя о проблеме в частном режиме, и широкой огласке она была предана лишь после выхода патча. Какие-либо свидетельства эксплуатации уязвимости хакерами обнаружены не были.

Ссылка на комментарий

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...