Vulnerabilità Video per Skype

closeQuesto articolo è stato pubblicato 9 anni 8 mesi 3 giorni fa! Nel mondo HiTech tutto questo tempo equivale ad ere geologiche. Per tanto ricorda che la notizia può essere passata, smentita o annullata!! Quindi effettua altre ricerche nel sito prima di raccontarlo ai tuoi amici!! Potresti fare una figuraccia...

Un’importante ricercatore di sicurezza israeliano ha comunicato giorni fa come sia possibile tramite un video appositamente codificato ed eseguito con Skype eseguire attacchi di tipo Cross Zone Script.

Un Cross-zone Script è un browser exploit che trae vantaggio da una vulnerabilità zone-based. Cioè il pirata informatico può eseguire codice arbitrario in una zona in cui vi siano i permessi necessari per eseguirlo.

Aviv Raff, il ricercatore che ha individuato il bug ha rilasciato un articolo in cui illustra la pericolosità che questo problema potrebbe causare.

Il problema, spiega Raff, è che Skype utilizza il motore di rendering di Internet Explorer per eseguire il codice HTML. Questo gli permette di eseguire il codice in una Local Zone che non è protetta! Quindi questo da la possibilità di iniettare codice da far eseguire in una zona del PC con i giusti permessi permettendo di prendere il controllo della macchina, da remoto.

In contemporanea un altro ricercatore ha scovato un bug in Dailymotion.com, tramite il quale è possibile eseguire attacchi di tipo Cross-zone script nel campo del titolo del noto portale di video.

È stato poi creato un exploit di esempio, da Aviv Raff, per dimostrare come sia possibile aprire la calcolatrice tramite questa vulnerabilità. Potete vedere l’exploit in funzione su questo video: YouTube Video.

I tecnici di Skype hanno fatto sapere di aver bloccato l’opzione che permette, durante la chat, di visualizzare video provenienti da Dailymotion. Tutto sarà riattivato non appena il problema sarà corretto.

Tu cosa ne pensi?