Kilka dni temu pisaliśmy o prawdziwym sezonie na ataki hakerskie, którego udziałem padł Skype. Nie ma w tym wielkiej przesady, bowiem popularny komunikator (zwłaszcza w nieaktualnych wersjach) do niedawna posiadał poważną lukę, która pozwalała go zdalnie wysypać. Została ona już załatana przez Microsoft, a jej szczegóły ujawniono. Dowiedzmy się więcej na temat CVE-2017-9948, czyli podatności związanej z przepełnieniem bufora, która dotknęła Skype w wersjach 7.2, 7.35 i 7.36.
Jak tłumaczy Benjamin Kunz Mejri z Vulnerability Labs, ujawniona przez niego podatność pozwalała atakującemu zdalnie wysypać program i " przy udziale niespodziewanego błędu wyjątku nadpisać aktywne rejestry procesów i wykonać złośliwy kod". Luka, którą najprościej przypisać do kategorii przepełnienia bufora, oceniona została w klasyfikacji cvss (common vulnerability scoring system) na 7,2 pkt., co oznacza dość poważne niebezpieczeństwo. Atakujący nie potrzebował nawet interakcji ze strony użytkownika, a jedynie podstawowych, niskich uprawnień konta Skype. Podatność wynikała z funkcji 'formatu schowka' i atakowała plik systemowy MSFTEDIT.DLL w Windows 8.
"Ograniczenia rozmiaru transmisji i liczby obrazów w zrzucie schowka sesji zdalnej nie posiadają zabezpieczeń w postaci limitów lub restrykcji. Atakujący mogą wysypać program przy pomocy jednego żądania nadpisania rejestru EIP aktywnego procesu programu. Pozwala to lokalnemu lub zdalnemu atakującemu wykonać własne kody w podatnych i połączonych systemach komputerowych poprzez program Skype" - opisuje swoje odkrycie zespół Vulnerability Labs.
Microsoft został poinformowany o podatności 16 maja, a łatkę wypuścił 8 czerwca, udostępniając aktualizację Skype do wersji 7.37.178. Szczegółowe dane o podatności Vulnerability Labs ujawnił więc post factum dopiero 18 dni po jej załataniu. Użytkownicy komunikatora nie powinni więc się już obawiać, o ile oczywiście regularnie pobierają aktualizacje.
