Bug na busca de vídeo pelo Skype permite instalação de malware
Por IDG News Service/EUA
Publicada em 18 de janeiro de 2008 às 11h20
Atualizada em 18 de janeiro de 2008 às 11h38
São Francisco - Crackers usam erro de programação para rodar códigos de script pelo recurso para gerar HTML do Internet Explorer.
Um erro de programação no software Skype, do eBay, dá uma nova opção para que crackers instalem malwares no PC da vítima.
A falha, que foi reportada na quinta-feira (16/01) pelo pesquisador de segurança Aviv Raff, está relacionada ao uso de um componente do Internet Explorer para a criação de documentos HTML.
Uma vez que o Skype não aplica controles de segurança restritos ao software, um cracker poderia rodar códigos de script no sistema da vítima para instalar softwares maliciosos.
Série Segurança Digital:
> Diário de um vítima online
> Entenda o que são worms e vírus e proteja-se
> Aprenda a identificar um phishing
> Descubra como ignorar os spams
> Feche a guarda aos cavalos-de-tróia
> Saiba como desmascarar os rootkits
> Proteja-se dos softwares espiões
O problema é que o Skype roda o componente do navegador caso a configuração "Local Zone" esteja selecionada - esta é a mais vulnerável. "Os crackers conseguem fazer todos os tipos de coisas, como ler e incluir arquivos no disco local, além de executá-los" alertou o pesquisador de segurança Petko Petkov, em um post na quinta-feira (17/01).
Para o ataque funcionar é utilizado um site confiável que possui uma falha comum de programação, chamada erro de cross-zone scripting. Este bug permite que um cracker engane o Skype e o faça rodar seu script malicioso como se viesse de uma página de confiança.
Raff mostrou por um vídeo no seu blog como uma falha deste tipo, existente no site Dailymotion.com, poderia ser explorada para executar a calculadora do Windows por meio do recurso "Add video to chat" do Skype.
E pior, os atacantes poderiam inundar o site com anúncios maliciosamente codificados para impulsionar suas chances de infectar a máquina da vítima, afirma Raff. "Este tipo de ataque é muito fácil de executar. Precisa de quase zero preparação.
A falha afeta a versão 3.6.0.244 do Skype, mas as versões mais antigas do software também podem correr risco. "Até que a equipe do Skype corrija a vulnerabilidade, recomendo que os usuários parem de buscar por vídeos pelo software", escreveu Raff.
Os representantes do Skype não foram encontrados imediatamente pela equipe do IDG News Service para comentar a respeito do bug.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- Software livre ganha força com sistema operacional do Google
- Nova lei eleitoral que permite uso da web em campanhas é aprovada
- Chrome OS: advogados levantam questões de privacidade e concorrência
- Loja de aplicativos da Apple faz 1 ano
- Cidade de Deus, no Rio de Janeiro, ganha banda larga gratuita sem fio
- Tempo gasto por crianças dos EUA na internet cresceu 63% em cinco anos
Links patrocinados
Brasil no rastro dos golpes
Delegado da Polícia Federal detalha novo sistema para analisar golpes por e-mail no País.
Roubo de senhas
Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.
Links patrocinados
