Специалист в сфере информационной безопасности из Vulnerability Lab Бенджамин Кунц Межри выявил уязвимость в Skype, которая дает возможность провоцировать переполнение буфера в стеке.
Для использования уязвимости хакер может без взаимодействия с пользователем провоцировать аварийное завершение работы сервиса и даже выполнять вредоносный код на системе. Уязвимость присутствует лишь в десктопных версиях Skype 7.2, 7.35 и 7.36.
Причиной существования уязвимости является ошибка в библиотеке MSFTEDIT.DLL, которая дает хакеру возможность копировать вредоносный графический файл в буфер обмена и вставлять его в окно диалога в Skype. Данное изображение провоцирует переполнение буфера, что приводит к аварийному завершению работы сервиса и подготовке плацдарма для дальнейшей работы утилит для использования уязвимости.
По словам Межри, кибератаки не ограничены лишь использованием уязвимости в ручном режиме. Хакер может провести подготовку кэша и буфера обмена на локальной системе для кибератаки на удаленную подключенную систему, работающую со Skype. Для атаки не нужно взаимодействие пользователя и достаточно только иметь в своем распоряжении пользовательский аккаунт Skype с низким уровнем привилегий.
Межри сообщил представителям корпорации о проблеме. 8 июня уязвимость была исправлена Microsoft в рамках релиза версии Skype 7.37.178. Пока что не было зафиксировано каких-либо свидетельств использования уязвимости киберпреступниками.
