13:27
8/5/2011

Skype potwierdził istnienie dziury, o której pisaliśmy 2 dni temu na naszym linkblogu. Błąd dotyczy komunikatora dla OS X i pozwala atakującemu na uruchomienie dowolnego kodu w systemie ofiary — aby przeprowadzić atak, wystarczy przesłać komuś odpowiednio skonstuowaną wiadomość.

Przypadkowy 0day

Błąd został odkryty przez Pure Hacking, podczas omawiania na Skype szczegółów testu penetracyjnego dla jednego z klientów firmy. Pracownik Pure Hacking przez przypadek zcrashował Skype’a swojemu rozmówcy, a kiedy zdał sobie sprawę z tego co się stało, dopracował payload tak, aby uruchomić na jego komputerze metasploita.

Skype

Skype: poprawka jest dostępna

Błąd został zgłoszony do Skype miesiąc temu i według Pure Hacking do tej pory nie wydano na niego poprawki. To skłoniło firmę do opublikowania posta , w którym ujawniają oni istnienie podatności 0day, ale nie precyzują żadnych szczegółów. Skype jednak szybko skontrował, wyjaśniając, że rzekomego 0day’a naprawiono już 14-tego kwietnia za pomocą hotfiksa, który jest możliwy do zaaplikowania i wejdzie w skład najbliższej aktualizacji.

Jak twierdzi Skype, nie zaobserwowano ataków na masową skalę z wykorzystaniem tej podatności — mimo wszystko, użytkownikom Skype’a 5.x. dla Mac OS X sugerujemy szybkie zaaplikowanie powyższego hotfiksa — niepodatna na atak wersja to 5.1.0.922.

Przeczytaj także:



12 komentarzy

Dodaj komentarz
  1. Co ciekawe, po włączeniu skype i kliknięciu w “Sprawdź aktualizacje” wyświetliło mi komunikat: “Brak nowych aktualizacji.” a po kilku sekundach sam zaproponował update. Weird.

  2. Problem dotyczy tylko wersji 3.0 która ogólnie jest do dupy. Cały interface jest pojebany na maxa. Należy wrócić do stabilnej wersji 2.8 i jest normalnie i bez zajmowania setek MB RAM. Wtedy obędzie się bez hotfixów.

    • masz racje ale jak teraz nie mowili ze jest blad krytyczny i po cichu chcieli zalatac, to myslisz ze 3.0 nie lata innych bledow? dobrze ze ci kolesie zrobili zamieszanie bo pewnie skype nigdy by sie nie przyznal ze jest taki blad. moim zdaniem juz lepiej miec beznadizejny interfejs z 3.0 ale byc bezpiecznym niestety nie mozemu byc pewni jakie inne bledy sa w starszych wersjach.

    • Ja tam się nie znam, nie mam OS X ani nie korzystam ze Skype, ale dlaczego nie zainstalować najnowszej wersji 5.1? http://www.skype.com/intl/en-us/get-skype/on-your-computer/macosx/

    • @macias: nie wiem co rozumiesz ty i RuNAW przez wersje 3.0, ale Skype potwierdził istnienie błędu w wersjach 5.x

  3. Na maca? No ale to przecież taki super system, niesamowicie szczelny. Nic takiego nie ma prawa się dziać. To na pewno propaganda hejterów apple ;)

  4. rozbraja mnie sformulowanie “nie zaobserwowano ataków na masową skalę”, coz za ignorancja i arogancja

  5. @Eliard: trochę się mylisz, bo na Macki nie ma wirusów, więc nawet jak ktoś wykorzysta tego 0day to i tak nic mu to nie da ;)

    • Przecież może przesłać netcat’a w payloadzie i chociażby przeglądać sobie katalog domowy ofiary… Jeśli mamy możliwość wykonania dowolnego kodu to właśnie jest podatność na wirusy. Co szkodzi jakiemuś hackerowi napisać payload który spowoduje wysłanie samego siebie do wszystkich kontaktów ze Skype’a?

  6. Dziura jak dziura – Microsoft kupiło Skype’a i służby USA dostaną w łapki możliwość podsłuchiwania rozmów. Warto o tym napisać!

  7. Jaka jest dobra darmowa i wieloplatformowa alternatywa dla Skype?

  8. […] na Mac OS X — może infekcja nie jest tak prosta jak w przypadku Windows, ale jak najbardziej jest możliwa […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: