0
En avgörande brist i Microsofts Skype-meddelanden och samtal service gör det möjligt för angripare utifrån att krascha system och exekvera kod.
Denna vecka, Sårbarhet Lab säkerhet forskaren Benjamin Kunz Mejri avslöjade tidigare okänd sårbarhet i en offentlig säkerhet utlämnande, säger stack buffertspill fel, CVE-2017-9948, påverkan Skype versioner 7.2, 7.35, och 7.36.
Beviljas en CVSS betyg på 7,2, stack buffertspill fel anses farligt som det möjliggör för angripare att på distans krascha programmet med ett oväntat fel undantag, att skriva över den aktiva processen register, och för att köra skadlig kod.
Problemet uppstår i Skype använder sig av den MSFTEDIT.DLL filen i fråga om en kopia begäran om lokala system.
Säkerhetsgruppen testat fil genom att kopiera och klistra in en utformad bildfil från ett urklipp i Skype-meddelande rutan, och när denna bild var värd för ett urklipp både på en avlägsen och lokala system, när den överförs, Skype var du uppmanas till ett stack overflow, vilket orsakar fel och en krasch som sedan kan utnyttjas.
Sårbarheten kan utnyttjas av både lokala och angripare utan någon interaktion på offrets konto, och endast en Skype-användare konto med låg immunitet är ett nödvändigt verktyg för angripare.
“Begränsning av den överförda storlek och räkna för bilder via utskrift av fjärr-sessionen urklipp har inga säkra begränsningar eller restriktioner,” Sårbarhet Lab säger. “Angripare kan krascha programmet med en begäran om att skriva över den europeiska INNOVATIONSPARTNERSKAPET register för aktiv software process.”
“På så sätt gör det möjligt för lokala eller angripare att köra egen kod på den drabbade och ansluten dator system via Skype-programmet,” laget till.
Sårbarhet Lab också proof-of-concept (PoC) för kod inom säkerhet utlämnande.
Se även: Skype-användare som drabbats av ransomware genom in-app skadliga annonser
Sårbarhet Lab första anmälda Microsoft fel på den 16 Maj. Efter Microsofts team erkänt problemet och har utvecklat en fix, en lapp sattes in på den 8 juni, vilket leder till offentliggörande den 26 juni.
Felet har lappat i Skype version 7.37.178, och användare bör se till att deras program är up-to-date för att skydda sig mot detta hot.
Mer säkerhet nyheter
Anthem kunder att få mindre än $1 vardera efter 2015 brott
Security services undersöka cyberattack mot BRITTISKA Parlamentet efter e-post hackad
SamSam ransomware nu kräver $33,000 från offer
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
0