Уязвимость нулевого дня в Skype для MacOS X

[Updated 2011-05-09]Согласно официальному блогу Skype , уязвимость была исправлена в новой версии для MacOS X: "we recommend you update your software with the fix made available on April 14th, just click on Skype -> Check for Updates or you can download the software here ."

Это  очень нехорошая и заразная уязвимость. Удаленный доступ к компьютеру под управлением MacOS X может быть получен (всего лишь) при помощи отправки специально подготовленного сообщения в Skype. Последствия такого рода уязвимости могут быть очень печальны. Представьте себе сетевого червя, распространяющегося путем рассылки зловредного сообщения по спискам контактов с зараженных компьютеров.

Опечалила реакция Skype на сообщения об обнаружении уязвимости. С момента уведомления прошел уже месяц, а обещание выпустить исправление еще не выполнено. Публичное заявление о существовании "дыры" должно несколько ускорить процесс подготовки обновления, потому что там, в подполье, сотни злых хакеров уже куют соответствующий " APT ". Я, конечно же, утрирую, но в каждой шутке есть доля шутки. Искать что бы то ни было становится значительно проще, когда тебе прозрачно намекают где именно.

С другой стороны, выпуск исправления не очень-то и поможет. Автоматических апдейтов у Skype пока нет, а обладая объектным кодом исправленной версии злоумышленникам будет намного проще обнаружить уязвимый участок программы при помощи обратного инжиниринга ( reverse engineering ). Этот метод уже давно используется блэкхэтами на продуктах Microsoft: вслед за ежемесячными "вторниками обновлений" ( patch tuesday ) приходят "четверги эксплойтов".

На этой оптимистической ноте буду закругляться. Всем маководам советую сократить пользование Скайпом до необходимого минимума и затаив дыхание ждать патча. А я, вместе со всеми остальными, буду надеяться, что дыра эта присуща только эпловской сборке Skype и не выпрыгнет в ближайшее время в Windows-версии.