0
Una falla critica in Microsoft Skype web di messaggistica e chiamate il servizio consente agli aggressori di mandare in crash il sistema e di eseguire il codice.
Questa settimana, la Vulnerabilità di Laboratorio ricercatore di sicurezza Benjamin Kunz Mejri rivelato, finora sconosciuta, vulnerabilità di sicurezza pubblica divulgazione, dicendo che il buffer di stack overflow difetto, CVE-2017-9948, impatti Skype versione 7.2, 7.35, e 7.36.
Concesso un CVSS punteggio di 7.2, lo stack buffer overflow difetto è considerato pericoloso in quanto permette di attaccanti a distanza in crash l’applicazione con un inaspettato errore di eccezione, per sovrascrivere il processo attivo registri, e per eseguire codice dannoso.
Il problema si verifica in Skype uso del MSFTEDIT.DLL file in caso di richiesta di copia sui sistemi locali.
Il team di sicurezza testato il file da copiare e incollare una predisposto un file immagine da un blocco di appunti in Skype finestra di messaggio, e quando questa immagine è ospitato su un clipboard, sia da locale e da remoto il sistema, una volta trasmessi, Skype è stato richiesto in un buffer di stack overflow, causando errori e crash che possono poi essere sfruttate.
La vulnerabilità può essere utilizzato da entrambi i locali e gli aggressori remoti senza alcuna interazione account della vittima, e solo un utente Skype account con privilegi limitati è uno strumento necessario per gli aggressori.
“La limitazione della trasmissione di dimensione e il numero di immagini tramite stampa della sessione remota appunti non ha protetto limitazioni o restrizioni,” Vulnerabilità Lab dice. “Gli aggressori sono in grado di mandare in crash il software con una richiesta di sovrascrivere il registro EIP del software attivo del processo.”
“Quindi, consente agli enti locali o agli aggressori remoti di eseguire codici interessati e connessi sistemi informatici tramite il software Skype, il team ha aggiunto.
Vulnerabilità Lab è anche fornito di proof-of-concept (PoC) del codice per la protezione divulgazione.
Vedere anche: gli utenti Skype colpito da ransomware tramite in-app annunci dannosi
Vulnerabilità Laboratorio di primo comunicato a Microsoft di bug il 16 Maggio. Dopo Microsoft, la squadra ha riconosciuto il problema e ha sviluppato un fix, patch, è stato distribuito l ‘ 8 giugno, portando alla divulgazione al pubblico il 26 giugno.
Il bug è stato corretto nella versione di Skype 7.37.178, e gli utenti devono assicurarsi che il loro software è up-to-date per proteggersi da questa minaccia.
Più notizie di sicurezza
Inno clienti per ottenere più meno di $1 ciascuno dopo il 2015 violazione
Servizi di sicurezza indagare attacco contro il Parlamento del regno UNITO dopo l’e-mail hacked
SamSam ransomware che ora richiede la $33,000 da vittime
Microsoft dice ‘non sono noti ransomware’ gira su Windows 10 S-così abbiamo provato per elaborarlo
0