Rakendusest Skype Empresarial v16.0.10730.20053 leitud DoS- ja mälukorruptsiooni haavatavused

Rakendusest Skype Empresarial v16.0.10730.20053 leitud DoS-i ja mälukorruptsiooni haavatavused

Turvalisus / DoS- ja mälukorruptsiooni haavatavused leiti Skype Empresarial v16.0.10730.20053-st 1 minut loetud

Skype: videokõnede, vestluse ja ärisuhtluse platvorm

Teenuse keelamise haavatavus on leitud Skype Empresarial Office 365 versioonist 16.0.10730.20053. Samuel Cruz avastas selle esmakordselt 20. aastal^thaugustil 2018. Cruzi edastatud teabe kohaselt testiti seda konkreetset haavatavust ainult Skype Empresarial versioonis 16.0.10703.20053. Lisaks testiti seda Windows 10 Pro x64 Hispaania koduoperatsioonisüsteemi platvormil. Pole veel teada, kas see haavatavus mõjutab ka teisi Skype Empresesarial versioone ja kas see toimib ka muude mõjutatud versioonide puhul ka teistes opsüsteemides / versioonides.

Cruzi valgustatud teabe kohaselt toimub krahh järgmiselt. Esiteks peate käivitama pythoni koodi: python SkypeforBusiness_16.0.10730.20053.py. Järgmisena peate avama SkypeforBusiness.txt ja faili sisu oma seadme lõikelauale kopeerima. Kui see samm on lõpule viidud, peaksite tavapäraselt käivitama Skype'i ärirakenduse ja kleepima varem tekstifailist lõikelauale kopeeritud. Kui see on kleebitud, põhjustab see seadme krahhi eitamise, mis põhjustab Skype'i töö lõpetamise ja krahhi mis tahes manipuleerimise korral.

Ütlemata lugu Skype'i mälukorruptsiooniveast https://t.co/ykyHPll81q #küberturvalisus pic.twitter.com/jqoHY3kIAD

- Angelo G Longo (@aglongo) 5. september 2018

Lisaks sellele veale leitakse vaid mõni tund tagasi, et tarkvaral on viga, mille kaudu kahe skype'i kasutaja vahel jagatud andmed ja meediumisisu võivad rakenduse kokku kukkuda. See tähendab, et sama haavatavust saab eemalt kasutada, kui pahatahtlik kasutaja saadab sellised failid võltsitud failid rakenduse kaudu teisele kasutajale, kutsudes mälu rikkumise tõttu samasugust teenuse keelamise reaktsiooni. Leiti, et see teine mäluprobleemide haavatavus mõjutab Skype for Linux: skypeforlinux_8.27.0.85_amd64.deb.

See ülalkirjeldatud Skype'i kaugkasutatav viga nõuab, et pahatahtlik ründaja ühendaks kõne ohvri kasutajaga ja seejärel saadaks pahatahtlikud failid samaaegselt platvormi sõnumiteenuse kaudu. Nii kohapeal kasutatava pythoni haavatavuse kui ka kaugelt kasutatava tõrke korral, mis töötab samal põhimõttel, pole leevendusjuhiseid ega nõuandeid veel saadaval. Selle probleemi kohta pole Microsoft seni avaldanud ühtegi avaldust.

Sildid Krahh skype