В Skype обнаружена критическая уязвимость
Телевид — объявление бегущей строкой на ТВ
Ускоряемся вместе
Телевид — настоящее цифровое кабельное телевидение

В Skype обнаружена критическая уязвимость

В Skype обна­ру­же­на кри­ти­че­ская уяз­ви­мость, кото­рая поз­во­ля­ет зло­умыш­лен­ни­ку уда­лен­но вызвать сбой при­ло­же­ния и запу­стить на ком­пью­те­ре жерт­вы испол­не­ние вре­до­нос­но­го кода. Уязвимость, полу­чив­шая назва­ние CVE-​2017-​9948, при­сут­ству­ет в вер­си­ях Skype 7.2, 7.35 и 7.36. Она была обна­ру­же­на иссле­до­ва­те­лем кибер­без­опас­но­сти Бенджамином Кунц-​Мейри (Benjamin Kunz-​Mejri), осно­ва­те­лем ком­па­нии Vulnerability Lab. По шка­ле Общей систе­мы оцен­ки уяз­ви­мо­стей (CVSS) баг полу­чил 7,2 бал­ла.

Vulnerability Lab сооб­щи­ла Microsoft о нали­чии уяз­ви­мо­сти 16 мая 2017 г. Microsoft при­зна­ла суще­ство­ва­ние про­бле­мы и раз­ра­бо­та­ла патч, кото­рый был раз­вер­нут 8 июня. Уязвимость была устра­не­на в вер­сии Skype 7.37.178. Пользователям сле­ду­ет убе­дить­ся, что их при­ло­же­ние обнов­ле­но, что­бы избе­жать угро­зы, сове­ту­ет ком­па­ния.

CVE-​2017-​9948 пред­став­ля­ет собой ошиб­ку пере­пол­не­ния буфе­ра в сте­ке, кото­рая поз­во­ля­ет зло­умыш­лен­ни­ку уда­лен­но обру­шить Skype на ком­пью­те­ре жерт­вы с помо­щью неожи­дан­ной ошиб­ки исклю­че­ния, а так­же пере­за­пи­сать регистр актив­ных при­ло­же­ний и испол­нить вре­до­нос­ный код на ком­пью­те­ре. Проблема воз­ни­ка­ет, когда Skype обра­ща­ет­ся к фай­лу MSFTEDIT.DLL в про­цес­се выпол­не­ния запро­са на копи­ро­ва­ние в локаль­ной систе­ме.

Чтобы под­твер­дить нали­чие уяз­ви­мо­сти в MSFTEDIT.DLL, коман­да Vulnerability Lab ско­пи­ро­ва­ла из буфе­ра и вста­ви­ла в окно сооб­ще­ния Skype спе­ци­аль­но сге­не­ри­ро­ван­ный файл-​изображение. Когда изоб­ра­же­ние было раз­ме­ще­но одно­вре­мен­но в буфе­ре уда­лен­ной и локаль­ной систе­мы, непо­сред­ствен­но в момент его пере­да­чи воз­ник­ло пере­пол­не­ние буфе­ра в сте­ке, кото­рым может вос­поль­зо­вать­ся зло­умыш­лен­ник. Для это­го ему не нуж­но вза­и­мо­дей­ство­вать с акка­ун­том жерт­вы, доста­точ­но иметь свой поль­зо­ва­тель­ский акка­унт с низ­ким уров­нем при­ви­ле­гий. У уда­лен­но­го буфе­ра нет ника­ких огра­ни­че­ний без­опас­но­сти на раз­мер и коли­че­ство пере­да­ва­е­мых фай­лов.

Источник: Компьютерные вести