Security Lab

Обход ограничений безопасности в Skype

Дата публикации:05.06.2008
Всего просмотров:2233
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2008-1805
CVE-2008-2545
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Skype for Windows 3.x
Уязвимые версии: Skype 3.6.0.248, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки проверки расширений файлов в "file:" URI обработчике. Удаленный пользователь может изменить регистр в расширении файла или указать файл, который не содержится в списке опасных файлов (список состоит из следующих расширений: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl, .crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp, .js), что приведет к тому, что приложение не отобразит окно предупреждения об опасном типе файла.

URL производителя: www.skype.com

Решение: Установите последнюю версию 3.8.0.139 с сайта производителя.

Ссылки: iDefense Security Advisory 06.04.08: Skype File URI Security Bypass Code Execution Vulnerability