Skype for Business: эмодзи как вектор атаки

Компания SEC Consult Vulnerability Lab обнаружила уязвимость в движке решений Skype for Business версий младше 2016 MSO (16.0.93) 64 и его предшественнике, Mycrosoft Lync 2013.

Для того, чтобы парализовать работу приложения получателя, злоумышленнику достаточно отправить сообщение, содержащее большое количество эмодзи. В оригинальной атаке, описанной как «Kitten of Doom», жертве отправлялось несколько сотен изображений котёнка. Это приводило к потере работоспособности чата в Skype for Business, при этом видеозвонки и аудиосообщения сохраняли работоспособность. Работоспособность также восстанавливается, если атакующий переставал слать поток эмодзи, поэтому пока ошибка воспринимается скорее как способ создать мелкие неприятности, чем как серьёзная угроза.

Уязвимость исправлена в последнем обновлении, но в случае, если его не получается установить, в качестве профилактики предлагается отключить отображение эмодзи в настройках клиента и запретить приём сообщений от лиц, не входящих в список контактов.

Исследователи отмечают, что аналогичный баг наблюдался в Skype ещё в 2015 году. Новой уязвимости присвоен код CVE-2018-8546.


Возврат к списку