Tweet
Inizio d’anno alquanto movimentato per Skype, costretto a fronteggiare l’ennesimo problema di vulnerabilità che mette a repentaglio la sicurezza dei milioni di suoi utenti in tutto il mondo.
Autori della scoperta sono il ricercatore israeliano Aviv Raff e Miroslav Lucinskij che hanno dimostrato come un qualsiasi malintenzionato possa facilmente impossessarsi di un PC iniettando ed eseguendo nel computer della vittima qualsiasi script.
Skype si avvale del web control di Internet Explorer per eseguire i contenuti in HTML quali Invia denaro (per i pagamenti con PayPal) o le funzioni Aggiungi il video alla chat e Aggiungi un video al messaggio del mio umore (accessibile dal menu File / Personalizza). E’ proprio qui il problema: i contenuti in HTML vengono eseguiti senza alcun tipo di protezione, permettendo così l’esecuzione di qualsivoglia script contenuto nella pagina.
Il pericolo si materializza soprattutto quando si eseguono le funzioni d’inserimento dei contenuti video nella chat o nel messaggio accanto al proprio avatar (video mood). Se il video è infetto contiene proprio nel suo titolo i comandi necessari per eseguire arbitrariamente un qualsiasi script nel PC della vittima. Fin’ora è stato tuttavia osservato solo per video di Dailymotion.
Pronta la risposta di Skype che appena ieri, dopo la notizia di giovedì, replica con il bollettino Skype Cross Zone Scripting Vulnerability in cui spiega i termini del problema che interessano le versioni del client per Windows 3.5.* e 3.6.* comunicando di aver…
…temporarily disabled users’ ability to add videos from Dailymotion gallery until an official fix has been made available…
Funzioni disabilitate dunque, in attesa di una patch risolutiva.
Ma i problemi non finiscono qui. Seconda falla altrettanto grave scoperta da Petko Petkov, una delle menti del GNUCITIZEN Group , legata agli ads di Skype:
After further investigation, I found out that the unencrypted packets are part of Skype’s ads which are pulled on several places, some of which end up within the unrestricted IE controller. With the help of tools like Airpwn or Karma, attackers can easily hijack does ads and replace them with malicious ones. Upon rendering, a malicious code will execute within unrestricted IE controller and as such will allow the bad guys in. This type of attack is very easy to pull and it requires almost zero preparation.
http://youtube.com/watch?v=FcuQrLZ4AU0
Autori della scoperta sono il ricercatore israeliano Aviv Raff e Miroslav Lucinskij che hanno dimostrato come un qualsiasi malintenzionato possa facilmente impossessarsi di un PC iniettando ed eseguendo nel computer della vittima qualsiasi script.
Skype si avvale del web control di Internet Explorer per eseguire i contenuti in HTML quali Invia denaro (per i pagamenti con PayPal) o le funzioni Aggiungi il video alla chat e Aggiungi un video al messaggio del mio umore (accessibile dal menu File / Personalizza). E’ proprio qui il problema: i contenuti in HTML vengono eseguiti senza alcun tipo di protezione, permettendo così l’esecuzione di qualsivoglia script contenuto nella pagina.
Il pericolo si materializza soprattutto quando si eseguono le funzioni d’inserimento dei contenuti video nella chat o nel messaggio accanto al proprio avatar (video mood). Se il video è infetto contiene proprio nel suo titolo i comandi necessari per eseguire arbitrariamente un qualsiasi script nel PC della vittima. Fin’ora è stato tuttavia osservato solo per video di Dailymotion.
Pronta la risposta di Skype che appena ieri, dopo la notizia di giovedì, replica con il bollettino Skype Cross Zone Scripting Vulnerability in cui spiega i termini del problema che interessano le versioni del client per Windows 3.5.* e 3.6.* comunicando di aver…
…temporarily disabled users’ ability to add videos from Dailymotion gallery until an official fix has been made available…
Funzioni disabilitate dunque, in attesa di una patch risolutiva.
Ma i problemi non finiscono qui. Seconda falla altrettanto grave scoperta da Petko Petkov, una delle menti del GNUCITIZEN Group , legata agli ads di Skype:
After further investigation, I found out that the unencrypted packets are part of Skype’s ads which are pulled on several places, some of which end up within the unrestricted IE controller. With the help of tools like Airpwn or Karma, attackers can easily hijack does ads and replace them with malicious ones. Upon rendering, a malicious code will execute within unrestricted IE controller and as such will allow the bad guys in. This type of attack is very easy to pull and it requires almost zero preparation.
http://youtube.com/watch?v=FcuQrLZ4AU0
Comment