Các lỗ hổng DoS & Tham nhũng Bộ nhớ được tìm thấy trong Skype Empresarial v16.0.10730.20053 - k2rx.com

Lỗ hổng DoS & Tham nhũng Bộ nhớ được tìm thấy trong Skype Empresarial v16.0.10730.20053

Bảo vệ / Lỗ hổng DoS & Tham nhũng Bộ nhớ được tìm thấy trong Skype Empresarial v16.0.10730.20053 1 phút đọc

Skype: Nền tảng Gọi điện, Trò chuyện và Giao tiếp Doanh nghiệp

Đã tìm thấy lỗ hổng từ chối dịch vụ trong Skype Empresarial Office 365 phiên bản 16.0.10730.20053. Nó được phát hiện lần đầu tiên bởi Samuel Cruz vào năm 20^{thứ tự}của tháng 8 năm 2018. Theo thông tin do Cruz cung cấp, lỗ hổng cụ thể này chỉ được thử nghiệm trên phiên bản 16.0.10703.20053 của Skype Empresarial. Hơn nữa, nó đã được thử nghiệm trên nền tảng hệ điều hành gia đình Tây Ban Nha Windows 10 Pro x64. Vẫn chưa biết liệu lỗ hổng này có ảnh hưởng đến các phiên bản khác của Skype Empresesarial hay không và liệu nó có tác động lên các phiên bản bị ảnh hưởng đã xác định trên các hệ điều hành / phiên bản khác hay không.

Theo thông tin được Cruz làm sáng tỏ, vụ tai nạn xảy ra như sau. Đầu tiên, bạn phải chạy mã python: python SkypeforBusiness_16.0.10730.20053.py. Tiếp theo, bạn phải mở SkypeforBusiness.txt và sao chép nội dung của tệp vào khay nhớ tạm của thiết bị. Sau khi bước này hoàn tất, bạn nên khởi chạy Skype for Business như bình thường và dán những gì bạn đã sao chép vào khay nhớ tạm trước đó từ tệp văn bản. Khi điều này được dán vào, nó sẽ gây ra lỗi hệ thống từ chối trên thiết bị, khiến Skype ngừng hoạt động và gặp sự cố khi có bất kỳ thao tác nào.

Câu chuyện chưa kể về lỗi hỏng bộ nhớ trong Skype https://t.co/ykyHPll81q #an ninh mạng pic.twitter.com/jqoHY3kIAD

- Angelo G Longo (@aglongo) Ngày 5 tháng 9 năm 2018

Ngoài lỗi này, cách đây vài giờ người ta cũng phát hiện phần mềm có một lỗ hổng mà dữ liệu và nội dung media được chia sẻ giữa hai người dùng skype có thể khiến ứng dụng bị treo. Điều này có nghĩa là cùng một lỗ hổng có thể bị khai thác từ xa nếu một người dùng độc hại gửi các tệp giả mạo như vậy thông qua ứng dụng cho người dùng khác, gây ra phản ứng từ chối dịch vụ tương tự do hỏng bộ nhớ. Lỗ hổng tham nhũng bộ nhớ thứ hai này được tìm thấy ảnh hưởng đến Skype dành cho linux: skypeforlinux_8.27.0.85_amd64.deb.

Lỗ hổng có thể khai thác từ xa này trong Skype được mô tả ở trên yêu cầu kẻ tấn công độc hại kết nối cuộc gọi với người dùng nạn nhân và sau đó đồng thời gửi các tệp độc hại qua dịch vụ nhắn tin của nền tảng. Trong trường hợp cả lỗ hổng python có thể khai thác cục bộ và trục trặc có thể khai thác từ xa hoạt động theo cùng một nguyên tắc, chưa có hướng dẫn hoặc tư vấn giảm thiểu nào. Chưa có tuyên bố nào được Microsoft đưa ra về vấn đề này.

Thẻ Tai nạn Ứng dụng trò chuyện