• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Удаленный вызов переполнения

Главная Специалистам База уязвимостей Удаленный вызов переполнения

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Skype (1.0.97)
Описание
В Skype существует возможность удаленно вызвать переполнение. Приложение некорректно выполняет проверку границ данных, что ведет к переполнению буфера. Используя специально сформированный callto:// URI-запрос размером 4,096 байт или более, содержащий несуществующее имя пользователя, злоумышленник, действующий удаленно, может выполнить произвольный код.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.skype.com/
Ссылки
Security Focus (Skype Technologies Skype CallTo URI Buffer Overrun Vulnerability): http://www.securityfocus.com/bid/11682
ISS X-Force (Skype callto: URI handler buffer overflow): http://xforce.iss.net/xforce/xfdb/18063
Bugtraq (Skype callto:// BoF technical details): http://marc.theaimsgroup.com/?l=bugtraq&m=110062240706017&w=2
FULLDISC (20041116 Skype callto:// BoF technical details): http://lists.grok.org.uk/pipermail/full-disclosure/2004-November/028852.html
CONFIRM (http://www.skype.com/products/skype/windows/changelog.html): http://www.skype.com/products/skype/windows/changelog.html
CONFIRM (http://www.skype.com/security/ssa-2004-02.html): http://www.skype.com/security/ssa-2004-02.html
OSVDB (11786): http://www.osvdb.org/11786
BUGTRAQ (20041115 Re: Skype callto:// BoF technical details): http://marc.theaimsgroup.com/?l=bugtraq&m=110067029422696&w=2