Tie kas lieto skype, noteikti ir pamanījuši, ka pagaidām nav iespējams pievienot video ne čatā, ne mood'ā. Pie vainas ir gan dailymotion un metacafe vietnes, gan IE, ar kuru līdzdalību arī organizēta video failu pievienošana skyp'ē. Šajos saitos tika atrasta Cross-Site scripting , kas gan drīzāk ir Cross-Zone scripting ievainojamība, jo skype izmantojot IE, šos video failu saitus laiž ar Local zone privilēģijām, nevis Internet zone. Internet Explorer Local zone uzstādījumos ir daudz mazāk ierobežojumu uz JS/ActiveX un līdz ar to ļaunprātīgiem skriptiem nesagādā lielas problēmas izpildīties uz datora.
Kā demonstrācija internetā tika parādīta kalkulatora programmas palaišanās uz datora, kas tikai izmantoja skype video failu meklēšanas funkciju, kas pierādīja cik bīstama un plaši izmantojama šī ievainojamība var būt un iespējams pavērt iespēju jauna vīrusa izplatībai caur skype.
Sīkāk šeit
Video:
Saturday, January 26, 2008
Skype video failu pievienošanas ievainojamība
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment