Рафф продемонстрировал эксплуатацию уязвимости, разместив вредоносный видео-файл на ресурсе DailyMotion (партнер Skype). Предприимчивый хакер может загрузить опасный видео-файл и установить для него популярное ключевое слово и получить доступ к ПК тех пользователей, которые через Skype ищут видеоролики по этому ключевому слову, пишет arstechnica.com.

Петко Петков (Petko Petkov), исследователь ИБ, отметил, что метод атаки не совсем прост, но его использование вполне возможно. В частности, он утверждает, что можно воспользоваться социальной инженерией или произвести загрузку большого количества вредоносных видео-файлов на файлообменник DailyMotion.

Исследователи нашли способ, как взять контроль над ПК с помощью Skype

Уязвимость касается последней версии Skype - 3.6.0.244, утверждает Рафф. Не исключено, что ошибка присутствует и в более ранних версиях.

Петков сообщает, что Skype имеет и другие уязвимости. Одна из них связана с функцией отображения рекламы. С помощью снифферов Airpwn и Karma атакующий может перехватить рекламные блоки и заменить их с целью внедрения вредоносного кода. При отображении рекламы в IE, код будет выполнен в локальной зоне, сообщает techworld.com. Таким образом, можно взять контроль над ПК жертвы. Этот тип атаки значительно проще первого.

Кроме того, при пользовании Skype в общественных Wi-Fi хотспотах, есть большая вероятность перехв ата трафика Skype злоумышленниками.

Исследователи ИБ рекомендуют не использовать поисковик видео-файлов и отключить функцию отображения видео во время звонка, до тех пор, пока Skype не выпустит патч.

Компания Skype пока не публиковала данных об уязвимости или о патче для нее и никак не комментировала исследования Раффа и Петкова.