В клиенте Skype для Mac OS найдена опасная уязвимость
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

В клиенте Skype для Mac OS найдена опасная уязвимость

Николай Головко 07 Мая 2011 - 08:05
...

Изъян обнаружил исследователь из австралийской группы PureHacking. Соответствующее сообщение было опубликовано им вчера, 6 мая. Согласно имеющимся данным, Skype подтверждает наличие угрозы и де-факто уже подготовила исправление.


Уязвимость, о которой идет речь, относится к типу 0-day и позволяет злоумышленнику спровоцировать удаленное исполнение кода на целевом компьютере под управлением операционной системы от Apple, после чего установить над ним контроль. Никакое прямое или косвенное содействие жертвы при этом не требуется. Сам исследователь, Гордон Мэддерн, охарактеризовал ошибку как "чрезвычайно опасную" и высокопатогенную.

Технические подробности эксплуатации изъяна специалист оглашать не стал, сообщив, что сначала необходимо дождаться выпуска требуемого исправления для Mac-версии Skype. Он, однако, пояснил вкратце суть проблемы: по его словам, ошибка была найдена случайно, в процессе разговора с одним из его коллег. Обсуждая с ним программное обеспечение, заказанное некоторым клиентом, г-н Мэддерн послал ему кусок кода, который, к удивлению обоих участников беседы, выполнился в контексте Skype-клиента получателя.

Исследователь изучил проблему и установил, что она является специфической именно для Mac-версии программы - в сборках для Windows и Linux найти уязвимость не удалось. Г-н Мэддерн построил тестовый образец эксплойта и убедился, что он вполне успешно срабатывает, открывая вероятному злоумышленнику довольно эффективный путь к нападению. Результаты своих изысканий специалист передал в Skype еще в начале прошлого месяца, однако до сих пор не увидел внятной реакции - что, собственно, и подвигло его на публикацию уведомления об изъяне.

Представители компании в тот же день отозвались блог-сообщением, в котором заявили, что на момент получения письма г-на Мэддерна им уже было известно об уязвимости, и они вели работу по ее исправлению. В итоге 14 апреля был готов экстренный патч, но сотрудники Skype решили не посылать пользователям сигнал о необходимости его установки, а просто включить "заплатку" в состав ближайшего планового пакета обновлений, который должен выйти в начале следующей недели. Аргументировали они свое решение тем, что "на тот момент не было никаких сообщений об эксплуатации изъяна в реальной вирусной среде".

Теперь, впрочем, доступ к патчу все же открыт. Пользователям, желающим установить его, необходимо запустить поиск обновлений в своем клиенте Skype или загрузить новую версию с сайта компании.

V3.co.uk

Письмо автору

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Телефонные мошенники начали предлагать россиянам новогодние туры
Татьяна Никитина 07 Ноября 2025 - 15:34
Мошенничество Домашние пользователи
Телефонные мошенники начали предлагать россиянам новогодние туры

Грядущие новогодние праздники в России продлятся 12 дней, и мошенники уже начали собирать дань с любителей путешествий, предлагая внести предоплату за бронирование тура, который якобы пока можно купить с большой скидкой.

По данным МТС, злоумышленники с этой целью проводят обзвоны от имени менеджеров турфирм и, выманив деньги за некий горящий тур, перестают выходить на связь.

«Как только первый платеж проведен, мошенники, пользуясь доверием собеседника, просят повторить операцию, ссылаясь на то, что она не прошла, — рассказывает журналистам директор продукта «Защитник» МТС Андрей Бийчук. — Жертве высылают подтверждение о возврате средств и убеждают совершить повторный перевод. После этого связь с «агентством» полностью прекращается: телефоны не отвечают, а сайт, если он был, перестает работать».

Использующие ИКТ мошенники традиционно активизируются в преддверии длительных праздников и сезона каникул / отпусков.

Собеседник «Известий» напомнил, что бронировать и оплачивать туры следует лишь на официальных ресурсах аккредитованных операторов и агентств. Подлог могут выдать обещания баснословных скидок, а также предложение воспользоваться левой платежной системой либо перевести деньги на карту физлица.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Microsoft Defender по ошибке отметил SQL Server устаревшим
Новость
Microsoft Defender по ошибке отметил SQL Server устаревшим
Поведенческие атаки на медсектор в августе выросли почти на треть
Новость
Поведенческие атаки на медсектор в августе выросли почти на...
ФСБ России сертифицировала узлы квантовой сети ViPNet QTS Lite от ИнфоТеКС
Новость
ФСБ России сертифицировала узлы квантовой сети ViPNet QTS Li...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.