Skype adalah layanan online gratis yang memungkinkan pengguna berkomunikasi dengan teman sebaya dengan suara, video, dan pesan instan melalui Internet. Layanan ini diakuisisi oleh Microsoft Corporation pada bulan Mei 2011 seharga US $ 8,5 Miliar karena popularitasnya di seluruh dunia.
Peneliti keamanan Benjamin Kunz-Mejri dari perusahaan keamanan Jerman Vulnerability Lab menemukan kerentanan buffer overflow stack yang tidak diketahui sebelumnya, yang didokumentasikan di CVE-2017-9948 , dalam perpesanan dan layanan panggilan Skype Web selama panggilan konferensi tim.
“Masalahnya bisa dieksploitasi dari jarak jauh melalui sesi atau interaksi lokal. Masalahnya terletak pada format print clipboard & tembolok via sesi remote pada Windows XP, Windows 7, Windows 8 dan Windows 10. Di Skype v7.37 kerentanannya adalah Ditambal, “tulis perusahaan keamanan itu.
Tidak diperlukan Interaksi Pengguna
Apa yang terburuk Kerentanan buffer stack overflow tidak memerlukan interaksi pengguna, dan hanya memerlukan akun pengguna Skype dengan hak istimewa yang rendah.
Jadi, penyerang dapat dengan mudah merusak aplikasi “dengan kesalahan pengecualian yang tidak terduga, untuk menimpa daftar proses yang aktif,” atau bahkan mengeksekusi kode berbahaya pada sistem target yang menjalankan versi Skype yang rentan.
Masalahnya tinggal di jalan Skype menggunakan file ‘MSFTEDIT.DLL’ jika ada permintaan salinan pada sistem lokal.
Inilah Cara Penyerang bisa Mengeksploitasi Flaw ini
Menurut laporan kerentanan, penyerang dapat membuat file gambar jahat dan kemudian menyalin dan menempelkannya dari clipboard sistem komputer ke jendela percakapan di aplikasi Skype.
“Keterbatasan ukuran dan jumlah yang ditransmisikan untuk gambar melalui cetak papan klip sesi jarak jauh tidak memiliki batasan atau batasan yang aman. Penyerang dapat menabrak perangkat lunak dengan satu permintaan untuk menimpa daftar EIP dari proses perangkat lunak yang aktif,” periset dari Kerentanan Lab mengatakan.
“Dengan demikian memungkinkan penyerang lokal atau remote untuk mengeksekusi kode sendiri pada sistem komputer yang terkena dampak dan terhubung melalui perangkat lunak Skype,” tambah mereka.
Proof-of-Concept Code Dirilis
Firma keamanan juga telah memberikan proof-of-concept (PoC) kode eksploitasi yang dapat Anda gunakan untuk menguji kekurangannya.
Lab Kerentanan melaporkan cacat tersebut ke Microsoft pada tanggal 16 Mei, dan Microsoft memperbaiki masalah ini dan meluncurkan patch pada tanggal 8 Juni di Skype versi 7.37.178.
Jika Anda pengguna Skype, pastikan Anda menjalankan aplikasi versi terbaru di sistem Anda untuk melindungi diri dari serangan cyber berdasarkan kerentanan ini.
