Komoly probléma fenyegeti a Skype-olókat – bemutatóvideóval!

Az azonnali üzenetküldő program az Internet Explorerbe integrálódva több kényelmi szolgáltatást is meg tud valósítani – például a Weben megjelenő telefonszámok egy kattintással való felhívásának lehetősége is ezáltal érhető el. A hónap közepén azonban kiderült, hogy a program webes vezérlője helyi zónának megfelelő jogosultságokkal fut. Ez azt jelenti, hogy lehetséges olyan script beágyazása egy weboldalba, amelynek segítségével az internetező számítógépén tetszőleges kód futtatása válik lehetővé.

A minap napvilágot látott információk szerint még veszélyesebb a sérülékenység, mint azt korábban gondoltuk. Egy megfelelően létrehozott weboldallal ugyanis még akkor is lehetőség nyílik kiaknázására, ha a Skype el sincsen indítva. A webhely meglátogatásával automatikusan futtatásra kerül az üzenőprogram, a rendszer megkísérli letölteni a sebezhetőséget kihasználni képes videót, majd futtatásra kerül az abba rögzített kód.

Aviv Raff, a hiba felfedezője szerint ez egy úgynevezett cross-site és cross-zone scripting sérülékenység kombinációja, ami igen veszélyes lehet a felhasználókra nézve. Az IT-biztonsági szakember természetesen tájékoztatta az Ebay-t, a Skype tulajdonosát is az általa tapasztaltakról, amely vállalat a szükséges patch kiadásáig egyszerűen eltávolította az Add a Video funkcionalitást programjából.