Skype软件file://URI处理器安全限制漏洞
日期:2008-6-11 11:06:11 人气: 出处:落伍论坛 作者:拒绝游泳的鱼 [大 中 小]
发布日期:2008-06-04 更新日期:2008-06-05 受影响系统: Skype Skype 3.6.0.248 描述: ---------------------------------------------------------------------------- BUGTRAQ ID: 29553 CVE(CAN) ID: CVE-2008-1805 Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。 Skype的file:// URI处理器在处理可执行的下载时存在漏洞,攻击者可能利用此漏洞绕过检查过滤。 Skype的file:// URI处理器会对URL执行检查以确认链接中没有包含与可执行文件格式相关的文件扩展名。如果链接中包含有黑名单所列出的文件扩展名,就会向用户显示一个警告对话框。由于执行检查时的逻辑错误,攻击者可以绕过安全警告执行程序。首先,检查使用的是区分大小写的比较;其次,黑名单没有涵盖所有的可执行文件格式。如果攻击者使用了至少一个大写字符的话,或使用了黑名单中所没有的可执行文件类型,就可以绕过安全警告。 <*来源:Ismael Briones (ismael@el-mundo.net) 链接:http://www.skype.com/security/skype-sb-2008-003.html http://secunia.com/advisories/30547/ http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=711 *> 建议: ---------------------------------------------------------------------------- 厂商补丁: Skype ----- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.skype.com/download/skype/windows/ http://www.skype.com/download/skype/linux/ http://www.skype.com/download/skype/macosx/ http://www.skype.com/download/skype/pocketpc/ (责任编辑:董建伟) |
| 上一篇:新型自动化SQL注入攻击引发大规模网页挂马 |
| 下一篇:卡巴斯基kl1.sys驱动存在本地栈溢出漏洞 |