Bug na busca de vídeo pelo Skype permite instalação de malware
Por IDG News Service/EUA
Publicada em 18 de janeiro de 2008 às 12h20
Atualizada em 18 de janeiro de 2008 às 12h38
São Francisco - Crackers usam erro de programação para rodar códigos de script pelo recurso para gerar HTML do Internet Explorer.
Um erro de programação no software Skype, do eBay, dá uma nova opção para que crackers instalem malwares no PC da vítima.
A falha, que foi reportada na quinta-feira (16/01) pelo pesquisador de segurança Aviv Raff, está relacionada ao uso de um componente do Internet Explorer para a criação de documentos HTML.
Uma vez que o Skype não aplica controles de segurança restritos ao software, um cracker poderia rodar códigos de script no sistema da vítima para instalar softwares maliciosos.
Série Segurança Digital:
> Diário de um vítima online
> Entenda o que são worms e vírus e proteja-se
> Aprenda a identificar um phishing
> Descubra como ignorar os spams
> Feche a guarda aos cavalos-de-tróia
> Saiba como desmascarar os rootkits
> Proteja-se dos softwares espiões
O problema é que o Skype roda o componente do navegador caso a configuração "Local Zone" esteja selecionada - esta é a mais vulnerável. "Os crackers conseguem fazer todos os tipos de coisas, como ler e incluir arquivos no disco local, além de executá-los" alertou o pesquisador de segurança Petko Petkov, em um post na quinta-feira (17/01).
Para o ataque funcionar é utilizado um site confiável que possui uma falha comum de programação, chamada erro de cross-zone scripting. Este bug permite que um cracker engane o Skype e o faça rodar seu script malicioso como se viesse de uma página de confiança.
Raff mostrou por um vídeo no seu blog como uma falha deste tipo, existente no site Dailymotion.com, poderia ser explorada para executar a calculadora do Windows por meio do recurso "Add video to chat" do Skype.
E pior, os atacantes poderiam inundar o site com anúncios maliciosamente codificados para impulsionar suas chances de infectar a máquina da vítima, afirma Raff. "Este tipo de ataque é muito fácil de executar. Precisa de quase zero preparação.
A falha afeta a versão 3.6.0.244 do Skype, mas as versões mais antigas do software também podem correr risco. "Até que a equipe do Skype corrija a vulnerabilidade, recomendo que os usuários parem de buscar por vídeos pelo software", escreveu Raff.
Os representantes do Skype não foram encontrados imediatamente pela equipe do IDG News Service para comentar a respeito do bug.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- DIGG
Agora no Twitter
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- IBOPE tomará providências sobre caso R7
- Dilma Rousseff defende regulamentação de profissões de TI
- Justiça dos EUA reduz indenização em caso de pirataria de música
- Pacote conserta 11 bugs do RealPlayer; CERT recomenda aplicação
- Google aprimora busca a fatos e eventos
- Mercado de música digital cresce, mas indústria ainda sofre com pirataria
Receba notícias do IDG Now! no celular
Cuidado com URLs curtas
Modalidade deve ser uma das maiores ameaças virtuais em 2010, segundo a Symantec.
Governança corporativa
Investimentos para proteger a informação nem sempre freiam as ações dos crackers.
Links patrocinados
