|
Một lỗi lập trình trong phần mềm giao tiếp Skype của eBay có thể cho phép giới tội phạm mạng cài đặt phần mềm độc hại vào máy tính nạn nhân.
Lỗ hổng trên được chuyên gia bảo mật Aviv Raff công bố ngày 17/1, theo đó một sai sót đã phát sinh trong cách thức Skype sử dụng thành phần Windows Internet Explorer để chuyển đổi HTML.
Do Skype không kiểm soát chặt chẽ cách thức điều khiển phần mềm này, nên kẻ tấn công có thể chạy mã kịch bản trên máy tính nạn nhân và cho phép cài đặt phần mềm độc hại vào hệ thống.
"Vấn đề ở chỗ Skype chạy thành phần IE với mức độ bảo mật 'Local Zone' kém hơn. Hậu quả là kẻ tấn công có thể thực hiện rất nhiều thứ, chẳng hạn như đọc/ghi file từ ổ cục bộ, và kích hoạt file thực thi", nhận xét của chuyên gia bảo mật Aviv Raff.
Để thực hiện cuộc tấn công, trước tiên tin tặc cần tìm một site tin cậy có lỗ hổng lập trình kịch bản liên vùng (cross-zone scripting). Lỗ hổng này sẽ cho phép dụ dỗ Skype chạy đoạn script nguy hiểm như thể chúng có nguồn gốc từ website tin cậy.
Trong đoạn video post lên blog của mình, Raff đã trình diễn cách thức lỗ hổng kịch bản liên vùng trên site Dailymotion.com có thể bị khai thác để kích hoạt chương trình máy tính trong Windows nhờ sử dụng tính năng "Add video to chat" của Skype.
"Người dùng chỉ đơn giản là ghé thăm trang DailyMotion thông qua nút 'Add video to chat' của Skype và đã 'dính chưởng' rồi", Raff viết.
Tồi tệ hơn, kẻ tấn công có thể lợi dụng lỗ hổng trên để làm ngập lụt (flood) website bằng các đoạn quảng cáo gắn mã độc.
Lỗ hổng được xác định ảnh hưởng tới phiên bản mới nhất của Skype (version 3.6.0.244). Các phiên bản cũ hơn cũng có thể bị ảnh hưởng. Hiện Skype vẫn chưa có phản hồi nào về phát hiện trên. Tuy nhiên, các chuyên gia khuyến nghị người dùng không nên tìm kiếm video thông qua Skype.
Văn Hân - (PCW)
(Theo VnMedia)
|