DoS un atmiņas korupcijas ievainojamības, kas atrastas Skype Empresarial v16.0.10730.20053

Drošība / DoS un atmiņas korupcijas ievainojamības, kas atrastas Skype Empresarial v16.0.10730.20053 1 minūte lasīta

Skype: videozvanu, tērzēšanas un biznesa saziņas platforma

Pakalpojuma atteikuma ievainojamība ir atrasta Skype Empresarial Office 365 versijā 16.0.10730.20053. Pirmo reizi to atklāja Semjuels Krūzs 20. gadā^th2018. gada augusts. Saskaņā ar Cruz iesniegto informāciju šī īpašā ievainojamība tika pārbaudīta tikai Skype Empresarial 16.0.10703.20053 versijā. Turklāt tas tika pārbaudīts uz Windows 10 Pro x64 spāņu mājas operētājsistēmas platformas. Pagaidām nav zināms, vai šī ievainojamība ietekmē arī citas Skype Empresesarial versijas un vai tā darbojas arī attiecībā uz noteiktajām ietekmētajām versijām arī citās operētājsistēmās / versijās.

Saskaņā ar informāciju, kuru izgaismojis Kruzs, avārija notiek šādi. Pirmkārt, jums jāpalaiž python kods: python SkypeforBusiness_16.0.10730.20053.py. Pēc tam ir jāatver SkypeforBusiness.txt un faila saturs jāizkopē ierīces starpliktuvē. Kad šī darbība ir pabeigta, jums vajadzētu palaist Skype darbam kā parasti un no teksta faila ielīmēt to, ko iepriekš nokopējāt starpliktuvē. Kad tas ir ielīmēts, ierīcē tiek atteikta sistēmas avārija, liekot Skype pārtraukt darbu un avāriju pēc jebkādām manipulācijām.

Neizsakāms stāsts par atmiņas korupcijas kļūdu Skype https://t.co/ykyHPll81q # kiberdrošība pic.twitter.com/jqoHY3kIAD

- Andželo G Longo (@aglongo) 2018. gada 5. septembris

Papildus šai kļūdai tikai pirms dažām stundām tiek atklāts, ka programmatūrai ir kļūda, kuras dēļ divu skype lietotāju koplietotais datu un multivides saturs var izraisīt lietojumprogrammas avāriju. Tas nozīmē, ka to pašu ievainojamību var izmantot attālināti, ja ļaunprātīgs lietotājs ar lietojumprogrammas starpniecību nosūta viltotus šādus failus citam lietotājam, izraisot tāda paša veida pakalpojumu atteikumu, izmantojot atmiņas bojājumus. Šī otrā atmiņas bojājuma ievainojamība ietekmē Skype for Linux: skypeforlinux_8.27.0.85_amd64.deb.

Šis iepriekš aprakstītais attālināti izmantojamais Skype trūkums prasa, lai ļaunprātīgais uzbrucējs savienotu zvanu ar cietušo lietotāju un pēc tam vienlaikus nosūtītu ļaunprātīgos failus, izmantojot platformas ziņojumapmaiņas pakalpojumu. Gan lokāli izmantojamā pitona ievainojamības, gan attālināti izmantojamās kļūmes gadījumā, kas darbojas pēc tā paša principa, pagaidām nav pieejamas mazināšanas instrukcijas vai ieteikumi. Pagaidām Microsoft nav izlaidis paziņojumu par šo problēmu.

Tagi Avārija skype