|
 |
|
Skype URL håndtering afsløring af filer
|
|
|
|
|
Secunia Advisory:
|
SA20154
|
|
|
Udsendt:
|
2006-05-19
|
|
Sidste Opdt.:
|
2006-06-07
|
|
|
Kritisk:
|
Moderat kritisk
|
|
Betydning:
|
Sikkerhedsomgåelse
Afsløring af følsomme oplysninger
|
|
Hvor:
|
Fra Internet
|
|
Løsning Status:
|
Producent Patch
|
|
| Software: | Skype for Windows 1.x
Skype for Windows 2.x
|
| | CVE reference: | CVE-2006-2312 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beskrivelse:
Der er rapporteret en sårbarhed i Skype, som kan udnyttes af ondsindede personer til at omgå bestemte sikkerhedsrestriktioner og potentielt afsløre følsom information.
Sårbarheden skyldes en fejl i fortolkningen af parametre suppleret via URI handleren. Dette kan udnyttes til at indsætte en yderligere kommandolinie switch til Skype klienten for at starte overførslen af en fil fra en Skype bruger til en anden via en specielt udformet Skype URL uden at afsenderen eksplicit skal godkende handlingen.
Succesfuld udnyttelse kræver at brugeren følger en ondsindet Skype URL og at modtageren tidligere har godkendt afsenderen.
Sårbarheden er rapporteret i følgende versioner af Skype for Windows.
* Release 2.0.*.104 og tidligere
* Release 2.5.*.0 til 2.5.*.78
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Løsning:
Opdatér til rettede versioner.
http://www.skype.com/download/skype/windows/
Skype for Windows 2.0:
Opdatér til release 2.0.*.105 eller senere.
Skype for Windows 2.5:
Opdatér til release 2.5.*.79 eller senere.
Rapporteret af / Kredit:
Producenten krediterer Brett Moore fra Security-Assessment.com Ltd.
Forløb:
23-05-2006: Opdaterede beskrivelse og original advisory.
07-06-2006: Tilføjede link til US-CERT.
Original Advisory:
Skype:
http://www.skype.com/security/skype-sb-2006-001.html
Security-Assessment.com:
http://www.security-assessment.com/Ad.../Skype_URI_Handling_Vulnerability.pdf
Andre Kilder:
US-CERT VU#466428:
http://www.kb.cert.org/vuls/id/466428
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
2 Relaterede Secunia Advisories
|
|
|
1. Skype flere buffer overflow sårbarheder
|
|
2. Skype "callto:" URI-handler buffer overflow
|
|
|
Send Feedback to Secunia
|
|
Hvis du har ny information angående dette Secunia advisory eller et produkt i vores database, så send det venligst til os. Du kan sende det til os enten ved at bruge vores web formular eller ved at sende det til vuln@secunia.com.
Ideer, foreslag og andet feedback er også meget velkommen.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
