Krytyczny błąd komunikatora Skype

W komunikatorze internetowym Skype znaleziono krytyczną lukę, która umożliwia atakującemu dzięki odpowiednio zmodyfikowanemu adresowi URL przesłanie do odbiorcy dowolnego pliku bez jego wiedzy.

Błąd wynika z błędnego parsowania podanych parametrów będących składnią adresu URL. Podatność na atak wynika jednak z kilku czynników, włączając konfigurację klienta, aspekty autoryzacji wysyłającej osoby z odbierającą. Udany atak wymaga własnoręcznej akceptacji oraz uruchomienia spreparowanego linka przez odbiorcę, na przykład ze strony internetowej. Rezultatem będzie rozpoczęcie transferu pliku, któremu będzie towarzyszyć monit informujący od strony odbiorcy. Nawet jeśli ofiara otworzy spreparowany adres - ma wciąż szansę zatrzymać pobieranie pliku.

Podatność występuje dla systemów operacyjnych Windows w wersjach Skype serii 2.0.* (do 104) oraz 2.5.* (do 78). Zaleca się natychmiastową aktualizację.

Realizacja: SIPLEX Studio