Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В ноябрьском пакете обновлений Microsoft устранила способ DoS-атаки с применением сотен анимированных смайлов.
Эксперты SEC раскрыли брешь корпоративного мессенджера от Microsoft, которую можно использовать для DoS-атак. Если отправить пользователю Skype для бизнеса серию сообщений с несколькими сотнями эмоджи, программа начинает работать все медленнее, пока вовсе не выдает критическую ошибку.
Уязвимость, получившая идентификатор CVE-2018-8546, была закрыта в рамках очередного пакета обновлений Microsoft. Авторы PoC назвали атаку Kitten of Doom (рус. роковой котенок) в честь эмоджи, который они использовали для демонстрации эксплойта. Фактически он представляет собой текстовую бомбу — критический баг ПО, связанный с ошибками в обработке специфических символов.
По словам экспертов, для реализации атаки злоумышленнику достаточно открыть чат с пользователем и отправлять ему любые смайлы из набора Skype для бизнеса. Проблемы начинаются, когда в окне сообщений оказывается 100 эмоджи. На отметке в 800 идеограмм в работе мессенджера возникает сбой. Если собеседник продолжает отправку, программа повисает.
Брешь присутствует в Skype для бизнеса 2016 MSO (16.0.93).64-Bit и его предшественнике Lync 2013 (15.0) 64-Bit. В обоих случаях уязвимыми остаются и старшие версии продуктов. Отмечается, что проблема не коснулась функций аудио- и видеосвязи.
Эксперты подчеркивают, что хотя такая атака не приведет к утечкам данных и прочим серьезным рискам, она все равно может угрожать многим компаниям, которые используют Skype в повседневной деятельности. По информации специалистов, еще в 2012 году с Microsoft Lync работали 90% корпораций из списка Fortune-100.
По последним данным, к концу 2018 года число сотрудников в крупных колл-центрах, центрах техподдержки и прочих подобных структурах, оказывающих удаленные услуги, превысит 100 млн. Авторы отчета указывают, что Microsoft быстро оценила вредоносный потенциал уязвимости, и призывают пользователей не медлить с обновлением.
«Сколько может стоить простой департамента продаж из-за DoS-атаки? Как быстро ИТ-служба сможет восстановить его работоспособность и как это повлияет на вашу продуктивность?» — задумываются они.
На тот случай, если в ближайшее время установить патч не представляется возможным, специалисты предлагают временные меры предосторожности. Для этого можно отключить использование эмоджи в Skype для бизнеса и ограничить прием сообщений списком утвержденных контактов. Если какой-либо пользователь присылает слишком много смайлов, будь то из вредоносных или хулиганских побуждений, его можно заблокировать.
Ранее от текстовых бомб пострадали пользователи PlayStation 4 и WhatsApp, владельцы iOS-устройств. Причина всех подобных багов в программных ошибках, поэтому их удается устранять простым обновлением.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |