web-dev-qa-db-ja.com

Skypeの広告で、JavaScriptを使用してコンピューターにファイルをダウンロードしようとした

私は通常、バックグラウンドでSkypeを実行しています。これまでにSkypeを使用したことがある場合は、おそらく広告があることをご存じでしょう。これらの広告の1つにより、画面に2つのウィンドウがポップアップし、ファイルのダウンロードを求められました。 Windowsはそれをキャッチしました(一度だけ...)。これで、Skypeの広告でどのようにウィンドウがポップアップするのでしょうか。

最初の写真に注目してください、それは.jsファイルです。 Skypeでは、広告を介して私のコンピューターでJavaScriptを実行できますか?もしそうなら、何ができますか?攻撃者は私のファイルにアクセスしたり、キーストロークを追跡したりできますか? Skypeにまだパッチが適用されていないエクスプロイトはありますか?

first image

enter image description here

malwarejavascriptskypetrojandrive-by-download
12
Greg M

Skypeは areyouahuman.com 広告技術を使用して、広告を「人間」にのみ配信しているようです。

なぜファイルをダウンロードしたいのですか? 「タイプ」に表示されている場合は、Undecidedと表示されています。これは、コンテンツタイプヘッダーの設定に失敗したareyouahumanサーバーのバグである可能性があります。ブラウザの場合、タイプが認識されない場合、通常は「ダウンロードファイル」ポップアップが表示されます(何が起こったかに似ています)。

Skypeが埋め込みブラウザインスタンスを使用してバナーを実行している可能性があります。それが本当かどうかはわかりませんが、そのようです。

セキュリティ上のリスクはありますか?きっとそうです。 SkypeがJavaScriptを許可して広告を展開している場合、誰かが悪意のあるコードを挿入する可能性があります。

それが起こった場合、それはどれほどひどくなりますか?私が以前言ったことが真実であるならば、私の推測はそれがどんなブラウザの脆弱性と同じくらい最悪になることができるということです。

マイクロソフトに連絡して、そのバグを報告することをお勧めします。

9
lepe

SkypeがJavaScriptを実行できるとしても、それは必ずしも世界の終わりではありません。広告がアクセスできる機能が大幅に増加するので、私はそれが悪いことに同意します。しかし、 https://en.m.wikipedia.org/wiki/Same-Origin_policy が進行中であることを忘れないでください。つまり、「誰かがあなたのクライアント上でJavaScriptを実行できるので、あなたは完全に所有されている」と言うのは、jsがオンになっている状態でWebを閲覧しないでください*のようなものです。

  • 私は実際には他の理由でやらないようにしています。
1
user_al