Skype: Videohívások, csevegés és üzleti kommunikációs platform
Szolgáltatásmegtagadási sérülékenységet találtak a Skype Empresarial Office 365 16.0.10730.2003 verziójában. Samuel Cruz fedezte fel először 20-ánth2018. augusztus. A Cruz által előterjesztett információk szerint ezt a biztonsági rést csak a Skype Empresarial 16.0.10703.2003 verzióján tesztelték. Ezenkívül a Windows 10 Pro x64 spanyol otthoni operációs rendszer platformján tesztelték. Egyelőre nem tudni, hogy ez a biztonsági rés érinti-e a Skype Empresesarial más verzióit is, és más hatással van-e a meghatározott érintett verziókra más operációs rendszereken / verziókon is.
A Cruz által megvilágított információk szerint a baleset a következőképpen következik be. Először futtatnia kell a python kódot: python SkypeforBusiness_16.0.10730.20053.py. Ezután meg kell nyitnia a SkypeforBusiness.txt fájlt, és ki kell másolnia a fájl tartalmát az eszköz vágólapjára. Miután ez a lépés befejeződött, a szokásos módon indítsa el a Skype Vállalati verziót, és illessze be a vágólapra korábban másoltakat a szöveges fájlból. Miután ezt beillesztette, a rendszer összeomlásának megtagadását okozza az eszközön, aminek következtében a Skype leáll és minden manipuláció után összeomlik.
A Skype egyik memóriasérülési hibájának el nem mesélt története https://t.co/ykyHPll81q #kiberbiztonság pic.twitter.com/jqoHY3kIAD
- Angelo G Longo (@aglongo) 2018. szeptember 5
Ezen hiba mellett néhány órával ezelőtt az is kiderült, hogy a szoftvernek van egy hibája, amely révén a két skype-felhasználó között megosztott adatok és médiatartalmak összeomolhatnak. Ez azt jelenti, hogy ugyanazt a biztonsági rést távolról is ki lehet használni, ha egy rosszindulatú felhasználó hamis fájlokat küld az alkalmazáson keresztül egy másik felhasználónak, és memória sérüléssel azonos típusú szolgáltatásmegtagadásra készteti. Ez a második memóriasérülési sebezhetőség a Skype for linux-ra érinti: skypeforlinux_8.27.0.85_amd64.deb.
A Skype fentebb leírt, távolról kihasználható hibája megköveteli, hogy a rosszindulatú támadó összekapcsoljon egy hívást az áldozat felhasználójával, majd egyszerre küldje el a rosszindulatú fájlokat a platform üzenetkezelő szolgáltatásán keresztül. Mind a lokálisan kihasználható python sebezhetőség, mind a távolról is kihasználható, ugyanazon elv alapján működő hiba esetén egyelőre nem állnak rendelkezésre mérséklési utasítások vagy tanácsok. A Microsoft egyelőre nem adott ki nyilatkozatot erről a kérdésről.
Címkék Összeomlás skype