Категория:
Новости :: 24-11-2011, 21:27
Как сообщил в своем блоге Левант Кайян, немецкий специалист по информационной безопасности, новая версия Skype под Windows обладает существенной уязвимостью.
Она позволяет злоумышленникам вставить вредоносный код в обычный телефонной разговор. Как считает эксперт, это пример XSS-уязвимости, связанный с тем, что клиентское ПО при передаче трафика не осуществляет проверку поступающих данных со стороны собеседника. Взломщик может вставить в свой номер код, который будет выполняться на компьютере вызываемого абонента.
А это позволяет использовать для атаки специальный скрипт javascript, либо HTML-код, при помощи которых можно получить сведения о cookies - а именно в этих файлах хранятся сохраненные пароли, реквизиты счетов и так далее. Компания Skype же сданными сведениями абсолютно не согласна , считая опубликованный отчет ошибочным. По сообщениям пресс-секретаря Брайана Рейно, область для осуществления набора номера не веб-окно. Независимый эксперт же заверят, что ошибочными данными являются сведения компании, подчеркивая, что вся передача записей на серверы производится через HTML-формы.
В доказательство своим словам он приложил скриншоты атаки. Ранее специалист указал на XSS-уязвимость, связанную с контакт-листом. Судя по всему, новая уязвимость является таковой только для Windows-пользователей. Skype в современном мире стал неким стандартом для проведения различных деловых и дружеских переговоров. Более того, он обладает и текстовым режимом общения, так что при установке данного программного обеспечения пользователь получает комплекс услуг – телефонная связь, возможность видео-общения и текстовый чат. Кроме того, звонки на обычные телефоны обходятся очень дешево.
Skype завоевал любовь пользователей по всему миру, поэтому новости об обнаруженных уязвимостях заставляет относиться к данным сведениям очень серьезно. Доказательства немецкого эксперта являются весомыми и аргументированными, более того, они даже подкреплены скриншотами, компания же может ответить только устными заверениями. Безусловно, в любом программном обеспечении всегда присутствует ряд ошибок, но возможность стать жертвой киберпреступников мало кому приятно.
Skype следует срочно отреагировать на подобные заявления и либо исправить недоработки, либо доказать невозможность их существования, в противном случае компания рискует потерять аудиторию Windows-пользователей, а таких, несмотря на альтернативные операционные системы, все же подавляющее большинство. В этой связи особенно актуальными становятся разговоры о превосходстве Mac OS X, которая, к тому же, недавно обновилась. Безусловно, Windows, отчасти и из-за своей распространенности становится жертвой атак намного чаще, и дырами в безопасности с завидной регулярностью становится именно устанавливаемый софт. Использование современных средств защиты вроде антивирусов является необходимым, но даже они неспособны полностью блокировать все угрозы.
