Un’importante ricercatore di sicurezza israeliano ha comunicato giorni fa come sia possibile tramite un video appositamente codificato ed eseguito con Skype eseguire attacchi di tipo Cross Zone Script.

Un Cross-zone Script è un browser exploit che trae vantaggio da una vulnerabilità zone-based. Cioè il pirata informatico può eseguire codice arbitrario in una zona in cui vi siano i permessi necessari per eseguirlo.

Aviv Raff, il ricercatore che ha individuato il bug ha rilasciato un articolo in cui illustra la pericolosità che questo problema potrebbe causare.

Il problema, spiega Raff, è che Skype utilizza il motore di rendering di Internet Explorer per eseguire il codice HTML. Questo gli permette di eseguire il codice in una Local Zone che non è protetta! Quindi questo da la possibilità di iniettare codice da far eseguire in una zona del PC con i giusti permessi permettendo di prendere il controllo della macchina, da remoto.

In contemporanea un altro ricercatore ha scovato un bug in Dailymotion.com, tramite il quale è possibile eseguire attacchi di tipo Cross-zone script nel campo del titolo del noto portale di video.

È stato poi creato un exploit di esempio, da Aviv Raff, per dimostrare come sia possibile aprire la calcolatrice tramite questa vulnerabilità. Potete vedere l’exploit in funzione su questo video: YouTube Video.

I tecnici di Skype hanno fatto sapere di aver bloccato l’opzione che permette, durante la chat, di visualizzare video provenienti da Dailymotion. Tutto sarà riattivato non appena il problema sarà corretto.

Articoli correlati:

1. Internet Explorer Cross-Zone Scripting Vulnerability
2. Google colto in “Falla”
3. Bug: Dialog Spoofing per Firefox
4. YouTube: guarda i video in formato testo e risparmi…
5. Vulnerabilità XSS su Google Buzz!!

Tags: aviv raff, bug, cross-zone script, dailymotion, skype

Come valuti la notizia??

(Nessun voto al momento)

 Loading ...

Inserisci Commento: