Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
seebugRootSSV:3389
HistoryJun 06, 2008 - 12:00 a.m.

Skype file:// URI处理器绕过安全限制漏洞

2008-06-0600:00:00
Root
www.seebug.org
14

0.056 Low

EPSS

Percentile

92.5%

JSON

BUGTRAQ ID: 29553
CVE(CAN) ID: CVE-2008-1805

Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。

Skype的file:// URI处理器在处理可执行的下载时存在漏洞,攻击者可能利用此漏洞绕过检查过滤。

Skype的file:// URI处理器会对URL执行检查以确认链接中没有包含与可执行文件格式相关的文件扩展名。如果链接中包含有黑名单所列出的文件扩展名,就会向用户显示一个警告对话框。由于执行检查时的逻辑错误,攻击者可以绕过安全警告执行程序。首先,检查使用的是区分大小写的比较;其次,黑名单没有涵盖所有的可执行文件格式。如果攻击者使用了至少一个大写字符的话,或使用了黑名单中所没有的可执行文件类型,就可以绕过安全警告。

Skype 3.6.0.248
Skype

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=“http://www.skype.com/download/skype/windows/” target=“_blank”>http://www.skype.com/download/skype/windows/</a>
<a href=“http://www.skype.com/download/skype/linux/” target=“_blank”>http://www.skype.com/download/skype/linux/</a>
<a href=“http://www.skype.com/download/skype/macosx/” target=“_blank”>http://www.skype.com/download/skype/macosx/</a>
<a href=“http://www.skype.com/download/skype/pocketpc/” target=“_blank”>http://www.skype.com/download/skype/pocketpc/</a>

Related

securityvulns 2
cve 2
prion 2
cvelist 1
nessus 1
securityvulns
securityvulns
Skype protection bypass
2008-06-05 00:00:00
iDefense Security Advisory 06.04.08: Skype File URI Security Bypass Code Execution Vulnerability
2008-06-05 00:00:00
cve
cve
CVE-2008-1805
2008-06-06 22:32:00
CVE-2008-2546
2008-06-06 22:32:00
prion
prion
Design/Logic Flaw
2008-06-06 22:32:00
Design/Logic Flaw
2008-06-06 22:32:00
cvelist
cvelist
CVE-2008-1805
2008-06-06 22:00:00
nessus
nessus
Skype file: URI Handling Security Bypass Arbitrary Code Execution (uncredentialed check)
2008-06-06 00:00:00

0.056 Low

EPSS

Percentile

92.5%

JSON
Related for SSV:3389
securityvulns2cve2prion2cvelist1nessus1