大受全球喜愛的Skype,竟一連串地被發掘出內含3個緩衝區溢位(Buffer Overflow)的安全弱點,這些漏洞很有可能在有心人士利用下,造成阻斷式服務攻擊(DoS)、遠端入侵操控,甚至癱瘓Skype用戶電腦。
VoIP 的發展快速,光Skype軟體的會員高達6,100萬人,據該公司表示,Skype軟體從2003年8月發表以後,下載次數突破1.86億次大關,平均上線量高達300多萬人。Skype的成功,使得許多大廠為其市場契機吸引,同時也讓一群意圖不良的駭客蠢蠢欲動,目前已經有愈來愈多的安全廠商開始留意 VoIP相關應用的安全性。
這次發現的3個緩衝區溢位弱點,有2個是由Skype自己發現並對外發布公告。其一,當駭客透過鍵入 “callto://”或“skype://”等特定URI(Uniform Resource Identifies)的操控方式,誘騙使用誤點入特定URL,引發緩衝區溢位錯誤,並入侵系統執行任意的惡意程式碼;另一弱點則可能引發駭客透過直接操控使用者輸入的電子商務VCARD,達成入侵目的。另一個由丹麥Secunia安全公司發佈的弱點,它可能引發駭客入侵,並造成使用者電腦癱瘓,影響面比前兩者更廣,因為包括Skype Windows、Mac OS X、Linux與Pocket PC等版本上都存在這項弱點。駭客可能藉由特定精心設計的UDP(User Datagram Protocol)封包,引發所謂堆疊溢位錯誤(Heap-based Buffer Overflow)而加以攻擊,同時,駭客也可透TCP協定,或直接複寫堆疊上的功能指標器來加以入侵。
Skype公告的2 個弱點,只存於Skype Windows 1.1至1.4版,並可能產生DoS攻擊或被駭客由遠端操控使用者系統。至於Secunia所發現的弱點,只存在較舊的版本軟體之中,因此目前Skype 公司已針對上述安全弱點,籲請各平台版本的使用戶,儘快上網下載最新版本的Skype,以防堵駭客入侵的可能。
VoIP 的發展快速,光Skype軟體的會員高達6,100萬人,據該公司表示,Skype軟體從2003年8月發表以後,下載次數突破1.86億次大關,平均上線量高達300多萬人。Skype的成功,使得許多大廠為其市場契機吸引,同時也讓一群意圖不良的駭客蠢蠢欲動,目前已經有愈來愈多的安全廠商開始留意 VoIP相關應用的安全性。
這次發現的3個緩衝區溢位弱點,有2個是由Skype自己發現並對外發布公告。其一,當駭客透過鍵入 “callto://”或“skype://”等特定URI(Uniform Resource Identifies)的操控方式,誘騙使用誤點入特定URL,引發緩衝區溢位錯誤,並入侵系統執行任意的惡意程式碼;另一弱點則可能引發駭客透過直接操控使用者輸入的電子商務VCARD,達成入侵目的。另一個由丹麥Secunia安全公司發佈的弱點,它可能引發駭客入侵,並造成使用者電腦癱瘓,影響面比前兩者更廣,因為包括Skype Windows、Mac OS X、Linux與Pocket PC等版本上都存在這項弱點。駭客可能藉由特定精心設計的UDP(User Datagram Protocol)封包,引發所謂堆疊溢位錯誤(Heap-based Buffer Overflow)而加以攻擊,同時,駭客也可透TCP協定,或直接複寫堆疊上的功能指標器來加以入侵。
Skype公告的2 個弱點,只存於Skype Windows 1.1至1.4版,並可能產生DoS攻擊或被駭客由遠端操控使用者系統。至於Secunia所發現的弱點,只存在較舊的版本軟體之中,因此目前Skype 公司已針對上述安全弱點,籲請各平台版本的使用戶,儘快上網下載最新版本的Skype,以防堵駭客入侵的可能。
全站熱搜
留言列表
