В Skype обнаружили критическую уязвимость

В Skype обнаружили критическую уязвимость

В сервисе голосовой и видеосвязи Skype обнаружили критическую уязвимость, которая позволяет взломать любой аккаунт, пишет пользователь блога "Хабрахабр". Для взлома необходимо знать только адрес электронной почты жертвы.

Схема взлома заключается в следующем: необходимо зарегистрировать новый логин Skype на e-mail жертвы (технически это возможно). После этого нужно войти в созданный аккаунт, удалить все файлы cookie и запросить восстановление пароля. После этого в окно Skype придет уведомление "Маркер пароля", в котором содержится ссылка.

Перейдя по этой ссылке, пользователь сможет выбрать, для какого логина Skype, зарегистрированного на данный адрес e-mail, он хочет сменить пароль. Среди этих логинов будет как тот, который пользователь только что зарегистрировал на чужой e-mail, так и логин владельца этой электронной почты. Таким образом, без доступа к чужому ящику и без знания старого пароля, чужой пароль можно поменять, пишет lenta.ru.

Процедуру взлома наглядно продемонстрировал на видео пользователь твиттера @asintsov(вскоре после публикации заметки ролик был удален и на данный момент недоступен. - Прим. "Ленты.ру"). Представители Skype пока никак не прокомментировали уязвимость, информация о ней распространяется только в Рунете.

Особенность уязвимости заключается в том, что взломщик не может полностью лишить владельца аккаунта доступа к нему, так как уведомление о смене пароля придет и на почтовый ящик того, чей аккаунт взломан. Единственным выходом из ситуации пользователи "Хабрахабра" называют перерегистрацию Skype на e-mail, который никто не знает и который не засвечен в базах.

Security Vision добавила вход по OIDC и поиск зависимостей в настройках

Security Vision выпустила обновление своей платформы. В новой версии появилась поддержка OpenID Connect, инструменты для проверки зависимостей между объектами, а также несколько небольших изменений в отчётах и чатах. Поддержка OIDC расширяет варианты подключения платформы к корпоративным системам аутентификации.

Организации смогут использовать уже настроенную инфраструктуру управления учётными записями и единым входом.

В настройках типов объектов появилась вкладка «Применения». В ней можно посмотреть, где именно в платформе используется выбранный тип объекта. Это пригодится перед изменением конфигурации: администратор сможет заранее оценить, какие связанные настройки могут быть затронуты.

 

Разработчики также переработали историю запуска отчётов. Элементы для просмотра входных параметров и выгрузки готового отчёта теперь расположены удобнее, поэтому найти настройки предыдущего запуска и его результат должно быть проще.

В чатах карточек объектов добавили регистронезависимый поиск сотрудников при упоминании. Теперь имя пользователя будет находиться независимо от того, с заглавной или строчной буквы его ввели.

Есть и техническое изменение, которое важно учесть перед обновлением. Для работы коннектора PowerShell теперь требуется PowerShell версии 7.4.16. Если в инфраструктуре используется более ранняя версия, её придётся обновить заранее.

В целом релиз получился без громких перестроек: основные изменения касаются доступа, контроля связанных настроек и повседневной работы с отчётами и обсуждениями.

RSS: Новости на портале Anti-Malware.ru