 |  |
|
אפשר לחזור לדבר: סקייפ תיקנה מספר בעיות אבטחה קריטיות בתוכנת ה-VoIP הפופולרית שלה
ההאקרים מחפשים אתכם בטלפון | צלם: TheMarker
מומחה האבטחה הישראלי אביב ראף, שחשף בשבועות האחרונים את הבעיות, אינו מוכן עדיין לומר האם התיקון האחרון של החברה אכן מספק
10.02.08 | 11:21Internet | Security
בהודעת אבטחה אותה פרסמה ביום שלישי, מסרה סקייפ כי תיקנה את הבעיה העומדת בבסיס נקודת התורפה עליה דיווח חוקר האבטחה הישראלי אביב ראף לפני כמעט שלושה שבועות. נקודת תורפה זו יכולה הייתה להיות מנוצלת על ידי האקרים באמצעות קובץ וידאו מיוחד העושה שימוש בצורה השגויה בה מטפלת תוכנת הסקייפ בקוד HTML.
לדברי ראף, בבסיס הבעיה עמדה העובדה שסקייפ, העושה שימוש בבקר של דפדפן האינטרנט האקספלורר על מנת לטפל בדפי HTML, הריצה את הבקר במצב אבטחה שגוי תוך שהיא מייחסת לקוד הרשאות שאינו אמור לקבל.
לאחר שראף ומומחי אבטחה נוספים פרסמו קוד המדגים את נקודת התורפה, פתרה סקייפ באופן זמני את הבעיה על ידי כך שנטרלה את החיבור לשירות שיתוף הווידאו Dailymotion. שישה ימים מאוחר יותר, החברה חסמה גם את הקשר לשירות שיתוף וידאו נוסף - Metacafe, זאת לאחר שראף גילה נקודת תורפה חמורה עוד יותר.
ואם לא די בכך, לאחרונה גילה ראף בעיה נוספת בסקייפ, הפעם במאפיין ה-SkypeFind, מאפיין המאפשר למשתמשים להמליץ על בתי עסק ולכתוב עליהם ביקורות. ראף טען שבאמצעות ביקורת המכילה סקריפט זדוני, האקרים יכולים להשתלט על מחשב של כל משתמש הקורא את אותה ביקורת באמצעות SkypeFind.
ראף טען שכל שלוש נקודות התורפה קשורות למודל האבטחה הלקוי של סקייפ, והוסיף שהפתרון לבעיות הללו פשוט למדי. "על מנת למנוע את בעיית ההרשאות, כל שעליהם לעשות זה לשנות ערך אחד ב-Registry".
סקייפ רמזה כי זה אכן מה שעשתה. "נקודת התורפה הבסיסית תוקנה על ידי שיוך הבקר של האקספלורר לתחום הפעילות הנכון, ותחת ההרשאות הנכונות", מסרה היום החברה בהודעה מיוחדת. בנוסף מסרה סקייפ שכל שלוש נקודות התורפה - השתיים הקשורות לשירותי הווידאו וזו הקשורה למאפיין ה-SkypeFind - חוסלו לחלוטין במסגרת גרסת סקייפ העדכנית ביותר, אותה ניתן להוריד מהאתר.
ראף, עם זאת, אינו ממהר לתת את אישורו לתיקון החדש. לאחר שקרא את הודעתה של סקייפ, היו לראף עדיין מספר שאלות עליהן רצה תשובות לפני שיוכל לתת אור ירוק לגרסה העדכנית. "אני עדיין ממתין לתשובות מסקייפ", מסר.
גולשים יכולים להוריד את הגרסה המתוקנת, שמספרה 3.6.0.248, מאתר האינטרנט של החברה. משתמשי סקייפ קיימים יכולים לבצע את העדכון באמצעות פקודת ה-"Check for Updates" אותה ניתן למצוא תחת תפריט העזרה.
פורמט להדפסה
שלח באימייל
חזרה למעלה
עשרת הגדולים
- 1. חורף 2009 בג'ימייל: תיבת הדואר של גוגל בעיצוב חדש
- 2. HP משיקה מחשב נייד מולטי טאץ' על בסיס הטכנולוגיה של אן-טריג הישראלית
- 3. מיקרוסופט תשיק אנטי וירוס חינמי
- 4. פלייבוי מציג: גיבורות משחקי המחשב ככוכבות פורנו
- 5. נמשכים הפיטורים בהיי-טק: 1,004 מפוטרים ב-38 חברות ישראליות
- 6. הפיירפוקס של עולם המדיה סנטר: הסטארט-אפ הישראלי boxee גייס 4 מיליון דולר
- 7. האינטרנט הישראלי נטול כרום
- 8. מנה עסקIT: מחשב-על ישראלי במקום ה-120 מתוך 500 המחשבים החזקים בעולם
- 9. ג'ימייל: לא רק צ'ט וידיאו
- 10. Software AG תקים מרכז פיתוח בבאר-שבע בשיתוף עם אוניברסיטת בן-גוריון
ראש צוות QA – דרושים הייטק
ניסיון בניהול צוותי QA לפחות שנתיים. ניסיון בתקשורת – יתרון. אופק ניהולי למצטיינים
Internet | Israeli Hi-Tech and Startups | Silicon Wadiתוכניתן C++
תואר ראשון במדעי המחשב. לפחות שנה ניסיון בפיתוח C++. ניסיון בעבודה בסביבת Microsoft Visual Studio
Internet | Silicon Wadi | Israeli Hi-Tech and Startupsדרושים מהנדסי תוכנה
פיתוח אפליקציות לעיבוד נתונים, ניתוחם והצגתם. בוגרי מתמטיקה, פיזיקה או מדעי המחשב
Internet | Israeli Hi-Tech and Startups | Silicon Wadiדרושים מתכנתי JAVA
נסיון של שנתיים בפיתוח Java/J2EE לפחות שנתיים נסיון בפיתוח Java בצד הserver
Internet | Israeli Hi-Tech and Startups | Silicon Wadi
