Skype Extras Manager (skypePM.exe) skype-plugin：URI 任意 XML 檔案刪除 (未經認證的檢查)

medium Nessus Plugin ID 50597

語言:

概要

遠端 Skype 用戶端允許刪除任意 XML 檔案。

說明

根據時間戳記來判斷，遠端主機上安裝的 Skype 中所使用的 Skype Extras Manager (skypePM.exe) 版本，在處理「skype-plugin:」通訊協定的方式中存在瑕疵。

如果攻擊者可以誘騙受影響系統上的使用者按一下特製連結，就可以使用者權限，刪除受影響系統上的任意「.xml」檔案。

解決方案

根據報告升級至 Skype 4.2.0.169 或更新版本，以解決問題。

另請參閱

https://www.zerodayinitiative.com/advisories/ZDI-10-028/

https://seclists.org/bugtraq/2010/Mar/115

Plugin 詳細資訊

嚴重性: Medium

ID: 50597

檔案名稱: skype_4_2_0_169.nasl

版本: 1.10

類型: remote

代理程式: windows

系列: Windows

已發布: 2010/11/15

已更新: 2022/4/11

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus

弱點資訊

CPE: cpe:/a:skype:skype

必要的 KB 項目: Services/skype

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2010/5/20

弱點發布日期: 2010/3/11

參考資訊

BID: 38667

SECUNIA: 38875