Skype Empresarial v16.0.10730.20053: sta löydetyt DoS- ja muistikoruptiohaavoittuvuudet

DoS- ja muistikoruptiohaavoittuvuudet, jotka on löydetty Skype Empresarial v16.0.10730.20053: sta

Turvallisuus / DoS- ja muistikoruptiohaavoittuvuudet, jotka on löydetty Skype Empresarial v16.0.10730.20053: sta 1 minuutti luettu

Skype: Videopuhelut, keskustelut ja yritysviestintäalusta

Palvelunestohäiriö on löydetty Skype Empresarial Office 365 -versiosta 16.0.10730.20053. Samuel Cruz löysi sen ensimmäisen kerran 20. päivänä^thelokuussa 2018. Cruzin toimittamien tietojen mukaan tätä erityistä heikkoutta testattiin vain Skype Empresarialin versiossa 16.0.10703.20053. Lisäksi sitä testattiin espanjalaisella Windows 10 Pro x64 -käyttöjärjestelmällä. Ei vielä tiedetä, vaikuttaako tämä haavoittuvuus myös muihin Skype Empresesarial -versioihin ja toimiiko se muita myös muiden käyttöjärjestelmien / versioiden määritettyihin versioihin.

Cruzin valaisemien tietojen mukaan kaatuminen tapahtuu seuraavasti. Ensinnäkin sinun on suoritettava python-koodi: python SkypeforBusiness_16.0.10730.20053.py. Seuraavaksi sinun on avattava SkypeforBusiness.txt ja kopioitava tiedoston sisältö laitteen leikepöydälle. Kun tämä vaihe on valmis, sinun pitäisi käynnistää Skype for Business tavalliseen tapaan ja liittää aiemmin leikepöydälle kopioidut tekstitiedostosta. Kun tämä on liitetty, se aiheuttaa järjestelmän kaatumisen estämisen laitteessa, jolloin Skype lakkaa toimimasta ja kaatuu manipulaation yhteydessä.

Lukemattomat tarinat Skype-muistivirheistä https://t.co/ykyHPll81q #Kyberturvallisuus pic.twitter.com/jqoHY3kIAD

- Angelo G Longo (@aglongo) 5. syyskuuta 2018

Tämän virheen lisäksi vain muutama tunti sitten havaitaan, että ohjelmistolla on virhe, jonka kautta kahden skype-käyttäjän jakama data ja mediasisältö voivat aiheuttaa sovelluksen kaatumisen. Tämä tarkoittaa, että samaa haavoittuvuutta voidaan hyödyntää etänä, jos haitallinen käyttäjä lähettää väärennetyt tiedostot sovelluksen kautta toiselle käyttäjälle, mikä aiheuttaa samanlaisen palvelunestoreaktion muistin vioittumisen kautta. Tämän toisen muistin vioittumisen haavoittuvuuden havaitaan vaikuttavan Skype for linux: skypeforlinux_8.27.0.85_amd64.deb.

Tämä yllä kuvattu Skype-etäkäytettävissä oleva virhe edellyttää, että haitallinen hyökkääjä yhdistää puhelun uhrin käyttäjään ja lähettää samanaikaisesti haitalliset tiedostot alustan viestipalvelun kautta. Sekä paikallisesti hyödynnettävissä olevaan python-haavoittuvuuteen että samaan periaatteeseen toimivaan etäkäytössä olevaan häiriöön ei ole vielä saatu lieventämisohjeita tai neuvoja. Microsoft ei ole vielä julkaissut tätä asiaa koskevaa lausuntoa.

Tunnisteet Kaatua skype