0
Een kritiek beveiligingslek in Microsoft ‘ s Skype-web-berichten en bel voor service biedt aanvallers de mogelijkheid om te crashen van systemen en het uitvoeren van code.
Deze week, Vulnerability Lab security-onderzoeker Benjamin Kunz Mejri bleek de voorheen onbekende kwetsbaarheid in een openbare veiligheid openbaarmaking, zeggen de stack buffer overflow lek, CVE-2017-9948, effecten Skype versie 7.2, 7.35 en 7.36.
Verleende een CVSS score van 7,2, de stack buffer overflow lek als gevaarlijk wordt beschouwd als waarmee aanvallers op afstand crash van de applicatie met een onverwachte uitzondering fout, om het overschrijven van actief proces registers, en tot het uitvoeren van kwaadaardige code.
Het probleem treedt op in Skype is het gebruik van de MSFTEDIT.DLL bestand in geval van een kopie aanvraag op lokale systemen.
Het security-team testte het bestand door het kopiëren en plakken van een bewerkte afbeelding van een klembord in de Skype-bericht, en wanneer dit beeld werd gehost op een klembord zowel op een lokale en remote-systeem, wanneer verzonden, Skype werd gevraagd in een stack buffer overflow, waardoor fouten en een crash die vervolgens kunnen worden benut.
De kwetsbaarheid kan worden gebruikt door zowel de lokale als de externe aanvallers zonder enige interactie van de slachtoffer-account, en alleen een Skype-gebruiker account met lage rechten is een noodzakelijk instrument voor aanvallers.
“De beperking van het verzonden grootte en aantal voor beelden via afdrukken van de externe sessie klembord heeft geen veilige beperkingen,” Vulnerability Lab zegt. “Aanvallers in staat zijn om vastlopen van de software met een verzoek tot het overschrijven van het EIP register van de actieve software proces.”
“Zo kunnen lokale of externe aanvallers uit te voeren eigen codes op de betrokken en verbonden computersystemen via de Skype-software, de” het team toegevoegd.
Vulnerability Lab ook aanwezig proof-of-concept (PoC) code binnen de veiligheid openbaarmaking.
Zie ook: Skype-gebruikers zijn getroffen door ransomware via in-app kwaadaardige advertenties
Vulnerability Lab eerste aangemelde Microsoft de bug op 16 Mei. Nadat Microsoft het team van erkende het probleem en een oplossing ontwikkeld, een patch werd ingezet op 8 juni, wat leidt tot openbaarmaking op 26 juni.
De fout is hersteld in de Skype-versie 7.37.178, en gebruikers moeten ervoor zorgen dat hun software up-to-date om zichzelf te beschermen tegen deze bedreiging.
Meer nieuws over beveiliging
Volkslied klanten te krijgen met minder dan $1 per stuk na 2015 inbreuk
Veiligheidsdiensten onderzoeken cyberaanval tegen het BRITSE Parlement na de gehackte e-mails
SamSam ransomware eist nu $33.000 van slachtoffers
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S-zodat we probeerden te hacken
0