Η τελευταία έκδοση του Skype για Windows περιέχει μία ευπάθεια ασφάλειας, η οποία επιτρέπει σε έναν επιτιθέμενο να εισάγει κακόβουλο κώδικα κατά τη διάρκεια μιας τηλεφωνικής συνεδρίας του χρήστη, σύμφωνα με έναν Γερμανό ερευνητή ασφάλειας.
Η ευπάθεια XSS ή αλλιώς cross-site scripting, εντοπίστηκε στην έκδοση Skype 5.5.0.113 και οφείλεται στην αποτυχία του voice-over-IP client να ελέγξει τα παρεχόμενα τηλέφωνα για κακόβουλο κώδικα.
Ως αποτέλεσμα ένας επιτιθέμενος μπορεί να … εκμεταλλευτεί αυτήν την αδυναμία για να εισάγει εντολές ή κώδικα που παραβιάζουν το μηχάνημα που το «τρέχει».
Από την πλευρά του το Skype δηλώνει ότι έχει δεχθεί και στο παρελθόν ενημερώσεις για αυτήν την ευπάθεια, αλλά αυτές δεν αληθεύουν και ότι απλά αυτό το πεδίο που αφορά την ευπάθεια δεν έχει κανέναν απολύτως αντίκτυπο.
Ωστόσο ο ερευνητής από την Γερμανία Levent Kayan επιμένει στους ισχυρισμούς του και δηλώνει ότι το λιγότερο που μπορεί να κάνει ένας επιτιθέμενος μέσω αυτής της ευπάθειας είναι να δημιουργήσει έναν σύνδεσμο που κατευθύνει τον χρήστη σε σελίδα της επιλογής του.
Από εκεί και πέρα μια τέτοια επίθεση μπορεί να εξαπλωθεί και στις επαφές του ατόμου που προσβάλλεται από τον κακόβουλο κώδικα.
secnews.gr , Περισσότερες τεχνικές λεπτομέρειες
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου