[NEWS] Skype: scoperta una nuova vulnerabilità

c.m.g · 21-01-2008, 21:16

21 Gennaio 2008 ore 14:29

Spoiler:

Quote:

Skype è affetto da una falla in grado di manifestarsi nel momento in cui un utente ricerca nuovi video all'interno della sezione Dailymotion e in grado di eseguire codice arbitrario nel computer della vittima. Tale sezione risulta al momento disabilitata

Un bollettino di sicurezza pubblicato da Skype rende nota la presenza di una 'Cross Zone Scripting Vulnerability' all'interno del popolare programma VoIP in grado di manifestarsi nel momento in cui un utente cerca di scaricare un video dalla sezione Dailymotion con l'intento di aggiungerlo al proprio umore o alla chat in corso. In attesa di una patch risolutiva, Skype ha momentaneamente inibito la possibilità di accedere al tale galleria.

Per ottenere l'exploit, un malintenzionato deve inserire un video opportunamente progettato all'interno di un sito partner di Skype che presenta un errore di tipo cross-zone scripting (come ad esempio il già citato Dailymotion). Se un utente compie una ricerca su tale sito utilizzando le voci "Aggiungi un video al messaggio del mio umore" oppure "Aggiungi il video alla chat", il video in questione è in grado di iniettare nel computer della vittima uno script e eseguire codice arbitrario all'interno del suo computer. Al momento la vulnerabilità riguarda solamente Skype per Windows, incluse le versioni 3.5 e 3.6.

Secondo Aviv Raff, ricercatore operante nell'ambito della sicurezza informatica, Skype si avvale del web control di Internet Explorer per renderizzare le pagine HTML interne ed esterne quando si utilizzano funzioni tipo "invia denaro" o "Aggiungi il video alla chat"; il programma però esegue il web control nel contesto Local Zone di Internet Explorer. Il problema principale, risiede nel fatto che Skype esegue le pagine HTML in una modalità Local Zone non protetta, rendendo possibile così l'iniezione di script contenuti all'interno delle pagine visitate.

Il ricercatore Miroslav Lučinskij, definisce la falle come "Cross Site Scripting" ma anche "Cross-Zone Scripting", poiché gli script vengono eseguiti in base alla Local Zone di Internet Explorer. Un malintenzionato può così eseguire l'upload di un video, impostare una parola chiave particolarmente stuzzicante e attendere che le vittime eseguano la loro ricerca.

Il portale di Raff illustra un proof-of-concept in grado di eseguire la classica calcolatrice in seguito alla ricerca delle parole "calc test".

Tullio Matteo Fanti

Fonte: WebNews.it

c.m.g · 21-01-2008, 21:18

approfondimento su Tweakness:

http://www.tweakness.net/index.php?topic=4308

c.m.g · 22-01-2008, 09:22

ripreso anche da punto informatico:

http://punto-informatico.it/p.aspx?i=2166524

21-01-2008, 21:18	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	approfondimento su Tweakness: http://www.tweakness.net/index.php?topic=4308 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

22-01-2008, 09:22	#3
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ripreso anche da punto informatico: http://punto-informatico.it/p.aspx?i=2166524 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email