Včera sa po celý deň objavovala správa, že jeden z najpopulárnejších softwarov pre VOiP komunikáciu Skype, obsahuje závažnú bezpečnostnú chybu, ktorá umožňuje útočníkovi zneužiť nedostatočné uzamknutie práv (zón) na počítači obete.

Skype už od počiatku uvedenia na trh sprevádzajú problémy s bezpečnosťou, ako napríklad minulý rok, keď Skype postihol masívne šíriaci sa vírus. Skype je dnes veľmi populárny software a v posledných verziách poskytuje veľké množstvo doplnkov.

Niektoré z týchto doplnkov vyžadujú interakciu s browserom a preto Skype využíva na OS Windows Internet Explorer pre interné a externé generovanie HTML stránok. Dobrým príkladom môže byť služba “Send money via PayPal” (Pošli peniaze cez PayPal), ktorá otvorí dialóg vygenerovaný cez IE. Rovnako ako AIM klient spoločnosti AOL aj Skype spúšťa vygenerovné stránky v neuzamknutom Local Zone móde. To znamená, že je možné meniť privilégia a tak napríklad pristupovať k osobným dátam, alebo spúšťať naištalovaný software bez potvrdenia majiteľa počítača.

Chybu ohlásil včera Miroslav Lučinskij. Cross-zone scripting zraniteľnosť sa nachádza vo vyhľadávaní uploadnutých videí na portály DailyMotion, na ktorý obeť pristúpi cez prehliadač integrovaný ako doplnok v Skype. To v podstate znamená, že útočník uploadne video, ktoré by mohli eventuálne vyhľadávať ľudia najčastejšie (u nás napríklad Mojsejovci :P) a každý užívateľ vyhľadavajúci toto video obsahujúce Cross-site Scripting kód, by bol “ovládnutý” útočníkom.

Aviv Raff pripravil malú ukážku (POC), ktorá demonštruje spustenie kalkulačky na jeho počítači počas vyhľadávania videí cez Skype.

Odhalennie Miroslava Lučinskija si môžete prečítať tu, článok Aviva Raffa si môžete prečítať tu.