Отправка определенных восьми символьных строк заставляет Skype-клиент отказывать, предлагая разработчикам Microsoft выставить исправление за меньше чем день.Microsoft выпустила чрезвычайный патч 3 июня, подтвердив отчеты, что простые восемь символьных строк могли разрушить программу на определенных платформах.
2 июня пользователи Skype на форумах сообщества продукта сообщили, что отправка простой-строки-http://:-could разрушает Skype-клиент на платформах Android и Windows. Проблема следовала из неправильного обращения уродливого веб-адреса, по словам одного пользователя. Когда Skype-клиент пытается обработать сообщение, акт разрушает программу, сообщили пользователи.«Похоже, что программа пытается читать из защищенного пространства памяти, и ядро Windows останавливает его», заявил пользователь «PORT_1337».
Ошибка катастрофического отказа кажется довольно подобной проблеме, которая влияла на собственное приложение мгновенного обмена сообщениями Apple, сообщения. 27 мая исследователи в области безопасности обнаружили, что текстовое сообщение, комбинирующее английский и арабский текст в закодированном Unicode сообщении, могло разрушить устройства на iOS и вызвать проблемы в системах Mac OS X. Много пользователей отправили ошибку катастрофического отказа как розыгрыш их друзьям, приводящим больше чем к миллиону сообщений, отправленных пользователям в течение дня.В новом случае пользователи Skype сообщили Microsoft проблемы катастрофического отказа, которая по сообщениям заставила обмен сообщениями и приложение речи по IP закрываться.
Поскольку перезапуск программы просто перегрузил проблематичное сообщение, Skype будет продолжать отказывать, пока пользователь, который отправил сообщение, не удалил его.Microsoft подтвердила ошибку и выпустила обновление для проблемы 3 июня.«Мы знаем о проблеме, которая заставляла Skype-клиенты отказывать», заявила Microsoft в должности на форумах Skype. «Наши команды инженеров упорно работали для решения этого вопроса и выпустили обновления для всех затронутых платформ Skype».
Сообщение об ошибке, сгенерированное программой Skype, когда это отказывает, кажется, указывает, что приложение встречается с логической ошибкой, когда это анализирует текст, Крис Визопэл, главный инженер для фирмы кодовой безопасности Veracode, заявил в почтовом ответе на запросы eWEEK.«fuzzer, вероятно, нашел бы это, но он показывает плохой процесс тестирования безопасности в целом», сказал он. «Уродливые URL являются вводом базового теста для QA [обеспечение качества] тестирование».Когда ввод разрушает приложение, существует шанс, что показанная уязвимость могла быть использована атакующим для выполнения кода по затронутой системе. В случае ошибки Skype, однако, существует только небольшой шанс, что атакующий мог взять под свой контроль систему, сказал Визопэл.
«Учитывая это ошибка чтения, если атакующий не может управлять расположением, где чтение происходит, маловероятно, что это удаленно годно для использования», заявил он. «Удаленное использование было бы чрезвычайно плохо учитывая wormable природу обменивающегося сообщениями программного обеспечения».Apple подтвердила, что исправление находится в работах для его собственной проблемы обмена сообщениями, но еще не выпустило патч для сообщений.