检测

Skype skype:URI 处理/Datapath 参数注入设置操纵(无凭据检查)

medium Nessus 插件 ID 45060

语言:

简介

远程 Skype 客户端受到信息泄露漏洞的影响。

描述

根据其时间戳,远程 Windows 主机上安装的 Skype 版本无法审查在其 URI 处理程序中对其“/Datapath”参数输入的内容,该参数指定 Skype 配置文件和安全策略的位置。如果攻击者可诱骗受影响系统上的用户点击特别构建的链接,便可在远程 SMB 共享的 Datapath 位置使用客户端。这反过来可导致中间人攻击,或者泄露敏感信息,例如与该用户相关的调用历史记录。

解决方案

升级到 Skype 4.2.0.155 或更高版本。

另见

http://www.security-assessment.com/files/advisories/Skype_URI_Handling_Vulnerability.pdf

https://www.securityfocus.com/archive/1/510017/30/0/threaded

https://developer.skype.com/WindowsSkype/ReleaseNotes

http://share.skype.com/sites/garage/2010/03/10/ReleaseNotes_4.2.0.155.pdf

插件详情

严重性: Medium

ID: 45060

文件名: skype_4_2_0_155.nasl

版本: 1.10

类型: remote

代理: windows

系列: Windows

发布时间: 2010/3/15

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.6

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

漏洞信息

CPE: cpe:/a:skype:skype

必需的 KB 项: Services/skype

可利用: true

易利用性: Exploits are available

补丁发布日期: 2010/3/10

漏洞发布日期: 2010/3/10

参考资料信息

BID: 38699

SECUNIA: 38908