PDA

Просмотр полной версии : [Критическая уязвимость Skype] Ломаем пользователю Skype одним сообщением.


RaptorKZ
03.06.2015, 18:07
http://s1.iconbird.com/ico/1112/NeonGlowSocial/w128h1281352705229skype128px.png

Вся информация представлена строго в ознакомительных целях! За использование данного бага администрация ответственность не несет!

Здравствуйте.

Несколько дней назад был шум вокруг уязвимости в iOS, которая позволяла перезагружать телефон одним сообщением. Сейчас уже добрались и до Skype. Несколько часов назад на одном информационном ресурсе (тематика не связана с IT) появилось сообщение с серьезным багом Skype. На хабре уже тоже написали. Данная проблема присутствует только на ПК с ОС Windows и на мобильных телефонах с Android. Данный баг позволяет одним сообщением с определенным набором символов сломать Skype пользователю. Достаточно просто отправить эти символы и человек увидит следующее:

http://i.imgur.com/VbBosG9.png

При попытке запустить Skype, сообщение будет появляться снова и снова. Лечится переустановкой программы или удалением истории сообщений. Но данный баг работает не везде. Чтобы баг сработал, необходимо отправить сообщение из младшей (более старой) версии Skype в новую (старшую) версию. При отправке сообщения из новой версии в старую, уязвимость не срабатывает.

Как исправить проблему, если Вы стали жертвой данной уязвимости:

Необходимо удалить полностью историю сообщений. Для этого находим файл main.db в системной папке Skype (%appdata%\Skype\Ваш_логин_Skype\main.db). Если у Вас iPhone, то можно просто зайти с телефона и удалить это сообщение. Также существуют программы, которые позволяют удалять историю сообщений с конкретным человеком, но работоспособность мы не проверяли.

Администрация проекта openssource протестировала данную уязвимость. У 4 из 5 людей сломался Skype, за что им приношу извинения http://openssource.biz/wp-includes/images/smilies/icon_smile.gif По словам журналистов портала, где про эту уязвимость написали раньше нас — Microsoft уже получил уведомление об найденной уязвимости и занимается исправлением.

Уязвимые версии:

Для Windows: 7.5.0.101

Для Mac OS X: 7.8 (390)

Те самые символы:

http:// (https://antichat.live/):

Bezlishke
03.06.2015, 19:56
http://habrahabr.ru/post/259393/

Сносите

VentaL74
03.06.2015, 20:50
При отправке данного текста скайп подвисает, сообщение не отправляется

При повторной отправке -виснет

После перезапуска работает исправно (т.к. сообщение не отправилось)

P.S. год-два назад была такая же тема, только текст другой, глумились друг над другом с друзьями, крашили скайп

0x777
07.06.2015, 23:39
возможно скайп пытается проверить\загрузить\перейт и по ссылке так как определяет что это ссылка и может есть возможность использовать свой код ? или загрузить малваре

ZodiaX
08.06.2015, 01:25
В последних версиях, скайп при отправке ссылки дергает favicon.ico и пару верхних заголовков, делает он это, видимо, как у отправителя так и у получателей.

Farik
12.06.2015, 02:59
Вроде как можно ещё устанавливать данное сообщения в статусы )