Útočný vektor je trochu zamotaný, ale veľmi často vhodný a celkom praktický. Uživateľ jednoducho potrebuje navštíviť DailyMotion (náchylný na Cross-site scripting) a prostredníctvom Skypu pridať tlačítkom video na chat, toto je základná chyba, ktorá obsahuje zraniteľnosť typu Cross-site Scripting. Tento typ scenára môže byť dosiahnutý niekoľkými spôsobmi, ale verím, že väčšina prístupov by bola tiež možná aj sociálnym inžinierstvom na uživateľa alebo spammovanie DailyMotion pomocou stoviek dalších infikovaných videí. Aviv a pdp už o chybe v Skype nazývanej Local Zone vedely už niekoľko mesiacov. Predsalen toto je prvá významnejšia zraniteľnosť, ktorá očividne poukazuje na (ne)bezpečnosť Skypu. Taktiež sa tam nachádzajú dalšie útočné vektory, na ktoré si treba dávať pozor, ajkeď pracujú jedine v sieti, kde útočník môže ovplyvniť komunikáciu (mitm útoky, packet injection na wifi siete, sieťový spoofing, atd.). A tiež mi nedá nespomenúť, že Skypový traffic čiastočne prechádza nezakódovaným kanálom, čo môže mať vážne dôsledky. Nuž, čo z toho všetkého vyplýva? Dávajte si pozor na uploadovanie videí cez Skype pokiaľ túto zraniteľosť ešte nemáte ošetrenú. Nemôžem vám rozkázať aby ste prestali použivať tento sw, ajkeď chyby v článku sú už trochu staršieho dáta, je len na vás čo si z tohto vcelku stručného článku odnesiete..
Saturday, April 05, 2008
Subscribe to:
Post Comments (Atom)
3 comments:
zda sa my že tie chybičky su tam od posledneho vypadku
precitat cely blog, docela dobrej
naucio puno
Post a Comment