0
En kritisk fejl i Microsofts Skype web-beskeder og ringe service gør det muligt for angribere at gå ned systemer og udføre kode.
I denne uge, Sårbarhed Lab sikkerhed forsker Benjamin Sørensen Mejri afslørede hidtil ukendt sårbarhed i en offentlig sikkerhed offentliggørelse, siger stak buffer overflow fejl, CVE-2017-9948, virkninger Skype versioner 7.2, 7.35, og 7.36.
Der ydes en CVSS-score på 7,2, stak buffer overflow fejl anses for farligt, da det gør det muligt for angribere at fjernstyre crash program med en uventet undtagelse fejl, til at overskrive en aktiv proces registre, og til at afvikle ondsindet kode.
Problemet opstår i Skype ‘ s brug af MSFTEDIT.DLL fil i tilfælde af en kopi anmodning om lokale systemer.
Sikkerhedsteamet har testet den fil, ved at kopiere og indsætte en fabrikeret billede fra udklipsholderen ind i Skype besked feltet, og da dette billede blev hostet på en udklipsholder både på eksterne og lokale system, hvis de overføres, Skype blev bedt om i en stak bufferoverløb, der forårsager fejl og nedbrud, der kan udnyttes.
Sårbarheden kan udnyttes af både lokale og eksterne angribere uden nogen interaktion på ofrets konto, og kun en Skype-bruger-konto med lave privilegier er et nødvendigt redskab for angribere.
“Begrænsningen af de overførte størrelse og tæller for billeder via print af remote session udklipsholder har ingen sikker begrænsninger eller restriktioner,” Sårbarhed Lab siger. “Angribere er i stand til at crashe software med en anmodning om at overskrive EIP-register aktiv software proces.”
“Således gør det muligt for lokale eller fjernangribere at udføre egne koder på de berørte og forbundet computer systemer via Skype-softwaren,” team tilføjet.
Sårbarhed Lab også et proof-of-concept (PoC) kode i sikkerhed offentliggørelse.
Se også: Skype-brugere ramt af ransomware gennem in-app ondsindede annoncer
Sårbarhed Lab første meddelt Microsoft om fejlen, den 16. Maj. Efter Microsoft ‘ s team erkendt problemet, og der er udviklet et fix, et plaster blev indsat på 8 juni, hvilket fører til en offentliggørelse på 26 juni.
Fejlen er blevet rettet i Skype version 7.37.178, og brugerne skal sørge for at deres software er up-to-date for at beskytte sig mod denne trussel.
Mere sikkerhed nyheder
Hymne kunder til at få mindre end $1 hver efter 2015 brud
Sikkerhed-tjenester undersøge cyberattack mod BRITISKE Parlament efter e-mails, der er blevet hacket
SamSam ransomware nu kræver $33,000 fra ofre
Microsoft siger, at “ingen kendte ransomware’ kører på Windows-10 S — så vi har forsøgt at hacke det
0