jump to navigation

Bug na busca de vídeo pelo Skype permite instalação de malware
Janeiro 25, 2008

Um erro de programação no Skype, do eBay, dá uma nova opção para que crackers instalem malwares no PC da vítima.

A falha, que foi reportada na quinta-feira (16/01) pelo pesquisador de segurança Aviv Raff, está relacionada ao uso de um componente do Internet Explorer para a criação de documentos HTML.

Uma vez que o Skype não aplica controles de segurança restritos ao , um cracker poderia rodar códigos de script no sistema da vítima para instalar softwares maliciosos.

Série Segurança Digital:
> Diário de um vítima online
> Entenda o que são worms e vírus e proteja-se
> Aprenda a identificar um phishing
> Descubra como ignorar os spams
> Feche a guarda aos cavalos-de-tróia
> Saiba como desmascarar os rootkits
> Proteja-se dos softwares espiões

O problema é que o Skype roda o componente do navegador caso a configuração “Local Zone” esteja selecionada - esta é a mais vulnerável. “Os crackers conseguem fazer todos os tipos de coisas, como ler e incluir arquivos no disco local, além de executá-los” alertou o pesquisador de segurança Petko Petkov, em um post na quinta-feira (17/01).

Para o ataque funcionar é utilizado um site confiável que possui uma falha comum de programação, chamada erro de cross-zone scripting. Este bug permite que um cracker engane o Skype e o faça rodar seu script malicioso como se viesse de uma página de confiança.

Raff mostrou por um vídeo no seu blog como uma falha deste tipo, existente no site Dailymotion.com, poderia ser explorada para executar a calculadora do por meio do recurso “Add video to chat” do Skype.

E pior, os atacantes poderiam inundar o site com anúncios maliciosamente codificados para impulsionar suas chances de infectar a máquina da vítima, afirma Raff. “Este tipo de ataque é muito fácil de executar. Precisa de quase zero preparação.

A falha afeta a versão 3.6.0.244 do Skype, mas as versões mais antigas do também podem correr risco. “Até que a equipe do Skype corrija a vulnerabilidade, recomendo que os usuários parem de buscar por vídeos pelo ”, escreveu Raff.

Os representantes do Skype não foram encontrados imediatamente pela equipe do IDG News Service para comentar a respeito do bug.

Fonte: IDG Now!

Deixe uma mensagem...

You must be logged in to post a comment.