|
W najnowszej wersji klienta komunikatora Gadu-Gadu występuje błąd, który pozwala na ukrycie nazwy przesyłanego pliku. Błąd o tyle jest poważny, że nieświadomi niczego użytkownicy mogą pobrać i uruchomić fałszywy plik przykładowo zawierający wirusa.
Sposób działania jest podobny do niedawno odkrytego błądu w przeglądarce internetowej Internet Explorer gdzie można było przekazać użytkownikowi odpowiednio sformatowany adresu URL przekierowujący go na wybrany adres serwera. Cały problem tkwi w błędnym odczycie nazwy przesyłanego pliku przez klienta Gadu-Gadu.
I tak wysyłając plik z przykładową nazwą:
pic.jpg%20(228%20kB)%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2 0%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2 0%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2 0%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2 0%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2 0%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2 0.bat
niczego nieświadomy użytkownik pomyśli, że jest to zwyczajny plik (pic.jpg) plik graficzny i zaraz po jego pobraniu postanowi uruchomić go.
Dla wyjaśnienia w powyższym zapisie mamy nazwę pliku (pic.jpg), jego prawdziwy rozmiar (228 kB) oraz długi ciąg pustych znaków i rozszerzenie (.bat).
zrodlo hacking.pl
|