Новая атака через Skype требует "почти нулевую подготовку"

Выявленная в Skype уязвимость может предоставить злоумышленникам новый способ установки вредоносных программ на компьютеры пользователей. Об ошибке сообщил исследователь Авив Рафф (Aviv Raff), она заключается в использовании Skype компонента Internet Explorer для рендеринга HTML. Из-за недостаточных мер безопасности атакующий может запустить скрипт на компьютере жертвы и в конечном счете установить любой вредоносный модуль. Как написал в своем блоге британский специалист безопасности Петко Петков (Petko Petkov), используемые для компонента IE настройки безопасности Skype открывают злоумышленникам доступ не только к запуску любых программ, но и просмотру и записи файлов на компьютере.  

Для эксплуатации уязвимости используются сайты с распространенной ошибкой кросс-скриптинга. Она дает возможность запуска скриптов как если бы они принадлежали зараженному сайту. В опубликованном в блоге видео Рафф продемонстрировал заражение портала Dailymotion.com, где пользователь через функцию "Add video to chat" выбирает ролик с прикрепленным скриптом. Кроме того, атакующий может просто заполнить сайт зараженной рекламой, при этом требуется "почти нулевая подготовка". Уязвимость затрагивает последнюю версию 3.6.0.244, более ранние версии могут также быть подвержены риску заражения. До устранения ошибки Рафф посоветовал пользователям временно отказаться от использования видео в Skype.

©  TechLabs