В клиенте Skype для Mac OS найдена опасная уязвимость

Изъян обнаружил исследователь из австралийской группы PureHacking. Соответствующее сообщение было опубликовано им вчера, 6 мая. Согласно имеющимся данным, Skype подтверждает наличие угрозы и де-факто уже подготовила исправление.


Уязвимость, о которой идет речь, относится к типу 0-day и позволяет злоумышленнику спровоцировать удаленное исполнение кода на целевом компьютере под управлением операционной системы от Appleinfo-icon, после чего установить над ним контроль. Никакое прямое или косвенное содействие жертвы при этом не требуется. Сам исследователь, Гордон Мэддерн, охарактеризовал ошибку как "чрезвычайно опасную" и высокопатогенную.

Технические подробности эксплуатации изъяна специалист оглашать не стал, сообщив, что сначала необходимо дождаться выпуска требуемого исправления для Mac-версии Skype. Он, однако, пояснил вкратце суть проблемы: по его словам, ошибка была найдена случайно, в процессе разговора с одним из его коллег. Обсуждая с ним программное обеспечение, заказанное некоторым клиентом, г-н Мэддерн послал ему кусок кода, который, к удивлению обоих участников беседы, выполнился в контексте Skype-клиента получателя.

Исследователь изучил проблему и установил, что она является специфической именно для Mac-версии программы - в сборках для Windows и Linux найти уязвимость не удалось. Г-н Мэддерн построил тестовый образец эксплойта и убедился, что он вполне успешно срабатывает, открывая вероятному злоумышленнику довольно эффективный путь к нападению. Результаты своих изысканий специалист передал в Skype еще в начале прошлого месяца, однако до сих пор не увидел внятной реакции - что, собственно, и подвигло его на публикацию уведомления об изъяне.

Представители компании в тот же день отозвались блог-сообщением, в котором заявили, что на момент получения письма г-на Мэддерна им уже было известно об уязвимости, и они вели работу по ее исправлению. В итоге 14 апреля был готов экстренный патч, но сотрудники Skype решили не посылать пользователям сигнал о необходимости его установки, а просто включить "заплатку" в состав ближайшего планового пакета обновлений, который должен выйти в начале следующей недели. Аргументировали они свое решение тем, что "на тот момент не было никаких сообщений об эксплуатации изъяна в реальной вирусной среде".

Теперь, впрочем, доступ к патчу все же открыт. Пользователям, желающим установить его, необходимо запустить поиск обновлений в своем клиенте Skype или загрузить новую версию с сайта компании.

V3.co.uk

Письмо автору

Подпишитесь
в Facebook

Я уже с вами