Skype 檔案:URI 處理存在安全性繞過與任意程式碼執行弱點 (未經認證的檢查)
high Nessus Plugin ID 33125
語系:
概要
遠端 Skype 用戶端受到一個安全策略繞過弱點影響。說明
據報告,遠端主機上安裝的 Skype 版本驗證 URL 時會在「file:」URI 處理常式中使用錯誤的邏輯,不檢查某些危險的副檔名,並以區分大小寫的方式檢查其他項。如果攻擊者能夠誘騙受影響主機上的使用者按一下特製的「file: 」URI,就可以利用此問題以使用者的權限在受影響的系統上執行任意程式碼。
請注意,這只會影響 Windows 版 Skype。
解決方案
升級版本至 Skype 3.8.0.139 或更新版本。另請參閱
http://www.nessus.org/u?9341c10a
https://www.securityfocus.com/archive/1/493081/30/0/threaded
Plugin 詳細資訊
嚴重性: High
ID: 33125
檔案名稱: skype_2008_003.nasl
版本: 1.18
類型: remote
代理程式: windows
系列: Windows
已發布: 2008/6/6
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 6.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: cpe:/a:skype:skype
必要的 KB 項目: Services/skype
可輕鬆利用: No known exploits are available
參考資訊
CVE: CVE-2008-1805, CVE-2008-2545
BID: 29553