Skype URI İşleme Bilgi Sızması Açıklığı - Ulusal Bilgi Güvenliği Kapısı

Kaynak:	Zero Day Initiative Advisory

Seviye:	Orta
Bildiri Sürümü:	1.0
Açıklanma Zamanı:	18.03.2010
Yenilenme Zamanı:	-
Etkilenen Sistemler:	4.2.0.1.55 (v4.2 hotfix #1) ve öncesi

CVE:	-
BID:	38699
Referanslar:	https://developer.skype.com/WindowsSkype/ReleaseNotes http://www.zerodayinitiative.com/advisories/ZDI-10-027 http://www.security-assessment.com/files/advisories/Skype_URI_Handling_Vulnerability.pdf http://en.wikipedia.org/wiki/Skype http://www.skype.com/ http://www.securityfocus.com/bid/38699
Yazar(lar):	-

Açıklama:	Uygulamanın girdi denetimini "datapath" değişkeni için eksik kontrol ettiği gözlenmiştir. "skype:" protokol tutucusu ile gönderilen verinin "datapath" değişkenine atanan değerleri hatalı kontrol etmesi sonucu, herhangi bir SMB paylaşımına ulaşmak mümkün olabilmektedir.
Etki:	Bilgi Sızdırma
Çözüm:	Gerekli yamalar firma tarafından yayınlanmıştır.