Skype thường sử dụng cơ chế quản lý web của Internet Explorer để biên dịch các đoạn mã HTML phục vụ cho các hộp thoại như "Send money via PayPal" hay "Add video to chat". Trong thời gian gần đây, Aviv Raff phát hiện ra rằng Skype đang thực hiện việc quản lý web ở chế độ Local Zone, tệ hơn nữa là trong tình trạng không khóa (not-locked). Điều này có nghĩa là nó cho phép một đoạn mã có thể hoạt động trên bất kỳ trang nào.
Để thực hiện cuộc xâm nhập trái phép, kẻ tấn công trước hết cần tìm ra được một trang web đáng tin cậy mà đang gặp lỗi "cross-zone scripting". Lỗi này cho phép chúng lừa được Skype kích hoạt đoạn mã độc hại khi truy cập vào trang web.
Trên đoạn phim demo được đăng tải trên trang blog cá nhân, Raff đã cho thấy cách mà lỗ hổng cross-zone trên trang Dailymotion.com có thể bị khai thác để kích hoạt chương trình bảng tính trong Windows, thông qua tính năng "Add video to chat" của Skype.
Chuyên gia bảo mật Petko Petkov viết “Trong trạng thái Local Zone thì kẻ tấn công có thể thực hiện mọi thao tác như đọc/ghi từ ổ cứng hay gọi một tập tin thực thi. Do vậy, người dùng đơn giản chỉ cần ghé thăm trang DailyMotion thông qua nút "Add video to chat" của Skype là đã rơi vào lỗi Cross-site.”
Lỗi này hiện ảnh hưởng đến phiên bản Skype mới nhất 3.6.0.244. Theo Raff, các phiên bản cũ hơn vẫn có thể tồn tại nguy cơ bảo mật này. Lời khuyên dành cho người dùng vào lúc này là “Cho đến khi Skype đưa ra các bản vá thì bạn hãy dừng ngay việc tìm kiếm các đoạn phim trong Skype.”
Đoạn phim demo lỗi của Skype
Vĩnh Duy (Theo PC World)
Bình luận