Lỗi Skype mở đường cho hacker tấn công

Người dùng Skype đang phải đối diện với nguy cơ trở thành mục tiêu tấn công của tin tặc sau khi một lỗi bảo mật chết người mới trong phần mềm gọi điện thoại qua Internet này được chính thức công khai.

Chuyên gia nghiên cứu bảo mật Aviv Raff hôm qua (18-1) cho biết lỗi bắt nguồn từ phương thức Skype sử dụng Internet Explorer để tái tạo nội dung HTML. Phần mềm không hề sử dụng bất kỳ một giải pháp kiểm soát bảo mật nào trong việc thực hiện tiến trình tái tạo nội dung. Tin tặc hoàn toàn có thể lợi dụng sơ hở này để vận hành hoặc cài đặt phần mềm độc hại lên PC của người dùng.

Song để có thể tổ chức tấn công, trước hết tin tặc phải tìm được một website có uy tín mắc một lỗi lập trình khá phố biến - lỗi XSS (cross-site scripting). Lỗi XSS là cơ sở giúp tin tặc lừa Skype cho phép vận hành những mã nguồn độc hại của chúng. Trong trường hợp này Skype sẽ tưởng lầm những mã nguồn đó được tải về từ một website có uy tín.

Trong đoạn video trình diễn phương thức khai thác lỗi được đăng tải trên trang blog cá nhân, chuyên gia Raff đã lợi dụng thành công lỗi XSS trên website Dailymotion.com và tính năng “Add video to chat” của Skype để điều khiển và khởi động ứng dụng Calculator của Windows.

“Nhắp chuột vào nút bấm “Add video to chat” người dùng sẽ được dẫn tới website DailyMotion nhưng cùng lúc đó đối tượng tấn công đã có thể làm được rất nhiều điều có hại cho PC của họ,” chuyên gia nghiên cứu bảo mật Petko Petkov cho biết. “Đây là một hình thức tấn công vô cùng nguy hiểm bởi nó không cần nhiều sự can thiệp từ phía người dùng”.

Phiên bản mới nhất Skype 3.6.0.244 được xác nhận mắc lỗi trên đây. Song chuyên gia Raff cảnh báo các phiên bản Skype cũ hơn cũng có thể mắc lỗi. “Cho đến khi nào Skype khắc phục đầy đủ lỗi này, tôi khuyến cáo người dùng không nên sử dụng tính năng “add video to chat” của ứng dụng”.

Đại diện của Skype từ chối bình luận về thông tin trên đây.