Újabb Skype hibára bukkantak a szakemberek

Az Aviv Raff biztonsági cég megtalálta és be is mutatta, hogy a Skype sajnálatos módon bizonyos körülmények között lehetővé teszi ártalmas kód futtatását. A probléma gyökerét a Skype webes felületében kell keresni: a VoIP program az Internet Explorer-t használja a külső és belső HTML renderelésére, de sajnálatosan mindezt a "Local Zone" biztonsági beállítások mellett teszi.

A hiba kiaknázásához mindössze annyi kell, hogy megbízható, cross-zone scripting hibával rendelkező weboldalra tegyen szert a hacker. Az effajta hibák viszonylag megszokottak, és megengedik a valószínűleg nem biztonságos scriptek futását is, amelyek mintha magasabb rendű jogosultsággal rendelkeznénk az aktuálisnál. Az ilyen scriptek több alkalmazáshoz is kapcsolódhatnak, és egyeseket a biztonsági funkciók, például a Vista UAC-je kivédhetnek, de így is számos aktivitás maradhat teljesen észrevétlen, vagyis emiatt nem is blokkolható.

Petko Petkov biztonsági szakember szerint "amikor egy adott forrás a Local Zone környezetben fut, egy sor olyan dolog is megengedett, mint például (többek között) a helyi merevlemezen található fájl írása/olvasása, és WSH-n keresztüli EXE fájlok futtatása is." Jelen esetben a fertőzés veszélye magasabb az átlagosnál, mert a Skype által a videók keresésére használt weboldal (Dailymotion.com) szintén sebezhető cross-site scripting módszerrel. Magyarán a weboldalon található bármelyik videó tartalmazhat efféle scriptet, bár az is igaz, hogy eddig (még) nem találtak fertőzött videókat az oldalon.

A hiba a Skype 3.6.0.244-es verzióját érinti, de a kliens régebbi verzióiban szintén jelen lehet. Jelenleg az a hiba kivédésére az egyetlen biztos módszer az, ha nem futtatunk videó-keresést a Skype-on belül. A program többi funkcióit nyugodtan használhatjuk, csettelés vagy beszélgetés közben nem sodorjuk veszélybe a számítógépünket.