Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Rejtélyes sebezhetőség a Mac-es Skype-ban - Frissítés

2011.05.06. 23:22 | buherator | 2 komment

 A Pure Security egyik szakértője, Gordon Maddern véletlenül fedezett fel egy hibát a Skype Mac-re szánt változatában. A probléma akkor jött elő, mikor Maddern egy támadáshoz használt payloadot küldött át egyik kollégájának. Mint kiderült, egy távolról kihasználható sebezhetőségbe sikerült belefutni, ami egyszerűen egy speciális (szöveges) üzenet fogadásakor sül el. 

A Skype biztonsági csapata egy formaüzenetben ígért javítást már több mint egy hónapja, a hiba azonban azóta is fennáll. További részletek a sebezhetőséről egyelőre nem állnak rendelkezésre. Illetve mégis: a hiba kihasználása azonnal root-ot ad...

A történet elég nyugtalanító, főleg mivel nem rég jelent meg egy kifejezetten Apple felhasználókra szabott csináld-magad-botnet készlet, ennek készítői pedig már jó eséllyel rámozdultak erre a hibára is.

Ne fogadjatok el idegentől Skype kontaktot!

Frissítés:

A Skype hivatalos közleménye szerint a hibát az április 14-i patch-el (5.1.0.922) javították, de mivel a hibára nem láttak exploitot, ezért nem adtak ki biztonsági figyelmeztetést, ami automatikus jelzést adott volna a felhasználóknak a frissítés fontosságáról. 

Másrészt a sebezhetőség nem ad kapásból root hozzáférést - ezt a Registeren benézték, aztán mindenki így vette át a hírt, én is benyaltam, bocs!

Címkék: bug skype os x

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

ghost_____ 2011.05.07. 10:03:55

Nem nagyon látom, hogy a user nevében futó process mégis miként adhat azonnal root-ot.

Pas · http://pasthelod.hell-and-heaven.org 2011.05.07. 17:06:01

Hah, Skype. Azért azt finoman ideszpemmelném, hogy még mindig nem IPv6 képes a dög. Úgyhogy tessék kicsit savazni őket: forum.skype.com/index.php?showtopic=632023 :)