Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Pliki wideo zagrożeniem dla Skype'a

21 stycznia 2008

Daniel Cieślak
Izraelski specjalista ds. bezpieczeństwa Aviv Raff wykrył nową lukę w zabezpieczeniach popularnego komunikatora Skype. Błąd pozwala na przejęcie pełnej kontroli nad komputerem z systemem Windows - w tym celu wystarczy skłonić użytkownika Skype'a do wyświetlenie odpowiednio zmodyfikowanego pliku wideo.

Raff twierdzi, że wykryta przez niego luka to błąd typu "cross-zone scripting vulnerability". Jak tłumaczy ekspert, Skype do wyświetlania zawartości HTML wykorzystuje "silnik" Internet Explorera - problem w tym, że wyświetlane w ten sposób strony są przez automatycznie uznawane za bezpieczne (tzn. należące do strefy Lokalny Internet). A to oznacza, że jeśli "napastnikowi" uda się umieścić na takiej stronie złośliwy skrypt, to bez problemu będzie go można wykorzystać do przejęcia pełnej kontroli nad systemem.

Aviv Raff przeprowadził eksperyment udowadniający jego odkrycia - spreparował plik wideo, który umieścił w serwisie DailyMotion (będącym partnerem Skype'a) a następnie otworzył go korzystając z funkcji "Add Video to Chat". W pliku był osadzony prosty, nieszkodliwy kod, który został automatycznie uruchomiony podczas odtwarzania wideo - Raff zastrzega jednak, że ten kod można bez problemu podmienić na dowolne złośliwe oprogramowanie.

"Przestępca może opublikować w DailyMotion film, opatrzyć go odpowiednio popularnymi tagami - np. Paris Hiltion - i skutecznie zaatakować każdego, kto spróbuje go obejrzeć za pośrednictwem Skype'a" - mówi Aviv Raff.

Spostrzeżenie Izraelczyka potwierdza inny znany ekspert - Brytyjczyk Petko Petkov (specjalizujący się w testach penetracyjnych). "Sposób przeprowadzenia ataku wydaje się dość skomplikowany, ale tak naprawdę nie ma w tym nic trudnego. Najbardziej prawdopodobną metodą działania przestępców wydaje się stosowanie wszelkiego rodzaju sztuczek psychologicznych w celu zachęcenia internautów do oglądania takich klipów lub też "zasypanie" DailyMotion setkami niebezpiecznych filmów o odpowiednich opisach" - mówi Petkov.

Petko Petkov wskazał również przy okazji na drugą podobną słabość Skype'a - z jego analiz wynika, że reklamy dostarczane do Skype z centralnego serwera nie są odpowiednio zabezpieczone. Dzięki temu przestępcy mogą zmusić komunikator do wyświetlenia spreparowanych przez nich reklam - np. zawierających automatycznie się uruchamiający złośliwy kod.

Taki atak może zostać przeprowadzony np. za pośrednictwem publicznego punktu bezprzewodowego dostępu do Internetu - przestępca może wykorzystać hot spot do "wstrzyknięcia" złośliwego kodu do danych (reklam) przesyłanych do użytkowników Skype'a korzystających z tego samego punktu. Dlatego też Petkov zdecydowanie odradza osobom używającym tego komunikatora uruchamianie go podczas połączeń z publicznymi hot spotami.

Zarówno Raff, jak i Petkov zalecają też użytkownikom Skype zrezygnowanie z wyszukiwania i oglądania klipów wideo za pośrednictwem aplikacji - do czasu usunięcia luki przez producenta. Z analiz Aviva Raffa wynika, że na atak podatna jest najnowsze wersja Skype'a dla Windows (wydanie 3.6.0.244). Prawdopodobnie problem dotyczy też wcześniejszych wydań.


Aktualizacja:

22 stycznia 2008 10:45
Firma Skype potwierdziła występowanie błędu - z jej analiz wynika, że problem dotyczy wszystkich wersji komunikatora dla systemu Windows (włączająca najnowsze - 3.5 oraz 3.6). Przedstawiciele Skype'a przyznali też, że problem jest niezwykle poważny - ocenili go na 10 punktów w skali CVSS (Common Vulnerability Scoring System - powszechny system oceny błędów w oprogramowaniu). To najwyższy możliwy wynik (skala CVSS zawiera się w przedziale: 0 - 10 punktów).

Niestety, autorzy komunikatora nie przygotowali na razie poprawki rozwiązującej problem - prace nad nią już trwają. Aby zminimalizować zagrożenie, firma tymczasowo zablokowała możliwość korzystania z zasobów serwisu wideo DailyMotion z poziomu Skype'a.

6 lutego 2008 12:13
Przedstawiciele firmy Skype poinformowali, że wykryty przez Aviva Raffa błąd w zabezpieczeniach komunikatora został właśnie załatany (aczkolwiek izraelski specjalista na razie tego nie potwierdził - zrobi to po dokładnym przetestowaniu uaktualnionej aplikacji). Skype zaleca użytkownikom pobranie i zainstalowanie nowej wersji programu - 3.6.0.248 (użytkownicy komunikatora mogą to zrobić korzystając z wbudowanego do niego mechanizmu aktualizacyjnego). Więcej informacji znaleźć można na stronie www.skype.com.

Wystaw ocenę:
    Średnia ocena (liczba głosów: 5)
AudioBot - odsłuchaj materiałAudioBot - odsłuchaj materiał wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Oburzony

  • ocena: brak oceny
  • IP: 83.5.133.184
  • 21-01-2008, 15:22

Czyli to nie Skype tak na prawdę tylko Internet Explorer ... fajnie kupuje się u znakomitego producenta prawa do korzystania z jego biblioteki a ona się okazuje dziurawa jak ser szwajcarski ...:((

Potłuczone Windows ... tyle lat i ciągle takie dziury

antyoburzony

  • ocena: brak oceny
  • IP: 89.171.110.219
  • 21-01-2008, 15:47

A te noże kuchenne tak samo. Może ktoś wziąć i kogoś zamordować. Ech, ci producenci noży, siekier i innych rzeczy, tyle lat a wciąż podatne na nieprawidłowe użycie...