Bug na busca de vídeo pelo Skype permite instalação de malware
São Francisco - Crackers usam erro de programação para rodar códigos de script pelo recurso para gerar HTML do Internet Explorer.
Um erro de programação no software Skype, do eBay, dá uma nova opção para que crackers instalem malwares no PC da vítima.
A falha, que foi reportada na quinta-feira (16/01) pelo pesquisador de segurança Aviv Raff, está relacionada ao uso de um componente do Internet Explorer para a criação de documentos HTML.
Uma vez que o Skype não aplica controles de segurança restritos ao software, um cracker poderia rodar códigos de script no sistema da vítima para instalar softwares maliciosos.
Série Segurança Digital:
> Diário de um vítima online
> Entenda o que são worms e vírus e proteja-se
> Aprenda a identificar um phishing
> Descubra como ignorar os spams
> Feche a guarda aos cavalos-de-tróia
> Saiba como desmascarar os rootkits
> Proteja-se dos softwares espiões
O problema é que o Skype roda o componente do navegador caso a configuração "Local Zone" esteja selecionada - esta é a mais vulnerável. "Os crackers conseguem fazer todos os tipos de coisas, como ler e incluir arquivos no disco local, além de executá-los" alertou o pesquisador de segurança Petko Petkov, em um post na quinta-feira (17/01).
Para o ataque funcionar é utilizado um site confiável que possui uma falha comum de programação, chamada erro de cross-zone scripting. Este bug permite que um cracker engane o Skype e o faça rodar seu script malicioso como se viesse de uma página de confiança.
Raff mostrou por um vídeo no seu blog como uma falha deste tipo, existente no site Dailymotion.com, poderia ser explorada para executar a calculadora do Windows por meio do recurso "Add video to chat" do Skype.
E pior, os atacantes poderiam inundar o site com anúncios maliciosamente codificados para impulsionar suas chances de infectar a máquina da vítima, afirma Raff. "Este tipo de ataque é muito fácil de executar. Precisa de quase zero preparação.
A falha afeta a versão 3.6.0.244 do Skype, mas as versões mais antigas do software também podem correr risco. "Até que a equipe do Skype corrija a vulnerabilidade, recomendo que os usuários parem de buscar por vídeos pelo software", escreveu Raff.
Os representantes do Skype não foram encontrados imediatamente pela equipe do IDG News Service para comentar a respeito do bug.
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- Dell começa a cobrar por downgrade do Windows Vista para o XP
- Veja os equipamentos de segurança que serão lançados na InterSecurity
- T-Mobile lança iPhone 3G por 1 euro
- Apple lança SproutCore para concorrer com Flash e Silverlight
- Microsoft pode ser excluída de licitações governamentais por má conduta
- Firefox 3: corrida para quebrar recorde de downloads começa com lentidão
US$ 1,6 bilhão
foi o prejuízo que o Brasil teve devido à pirataria de software em 2007, revelou a BSA.
Links patrocinados
Hacker ético
Banco seguro no celular
Razões para ser paranóico
Listamos 10 razões para você ser paranóico sobre a vulnerabilidade de seus dados na web.
Soluções descartáveis
Vivemos ciclos em quase tudo que fazemos inclusive em gestão de riscos. Por Marcos Sêmola
Você já pode ler as últimas notícias do IDG Now!, em qualquer lugar e qualquer momento, usando seu celular para entrar no IDG Now! WAP.
Receba notícias do IDG Now! no celular
Links patrocinados
Blog dos Blogs
Firefox 3 bate recorde mundial de downloadsDeep in Tech
Resolvendo desafiosEfeito Web
Bill Gates no LinkedIn
