按 Enter 到主內容區
:::

TWCERT-電子報

:::

注意Kitten of Doom!鉅量表情符號癱瘓商務型Skype

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-04-03
  • 點閱次數:544
注意Kitten of Doom!鉅量表情符號癱瘓商務型Skype

CVE編號

CVE-2018-8546

內文

●概述:
資安諮詢業者SEC Consult,分析出企業常用通訊工具Skype for Business存在一項DoS漏洞"Kitten of Doom",據實驗結果,單次發送表情符號800個,足以造成接收端聊天視窗凍結數秒,持續發送則Skype程式維持癱瘓狀態無法回應,另該瑕疵僅影響聊天功能,無涉影音串流,蓋因分屬不同執行緒運算,故不干擾視訊會議。因Skype已廣泛應用,深入眾多企業商務活動,上揭手法輕則成為惡作劇,重則成為同業競爭、部門惡鬥伎倆,恐頹喪組織風氣與企業產能,確有更新必要,微軟本計畫於10月份釋出,因當月更新出紕漏,順延至11月,若IT部門仍對月例更新有戒心,或者處於封閉環境,可先採取臨時設定,停用emoji並以黑白名單限制通訊對象,再評估Skype個別修補安裝,Office 365內含Skype,亦屬更新範圍。
●編註:
(1) Skype for Business字串處理程序異常
據SEC Consult公司探勘實驗,單次送出100個表情符號,則接收者程式出現延遲現象,隨著每回訊息表情符號遞增,延遲愈發明顯,直至單次emoji數量達800時,聊天視窗無法回應,程式凍結數秒,剛好研究員以貓咪圖案測試,故命名為Kitten of Doom,若攻擊者持續送出多組大量表情符號訊息,則Skype圖形介面失效,待惡意訊息停送後始得解除DoS狀況。
(2)應變設定
(2-1)停用emoji
依序顯示Tools -> Options -> IM -> Show emoticons in messages,禁止表情符號。
(2-2)黑白名單
將惡意訊息發送者,封鎖其訊息;另設定隱私選項,僅開放通訊錄內成員聯繫互動。

影響產品

Lync 2013 15.0.5075.1000之前版本 /Skype for Business 2016 16.0.4756.1000之前版本

解決辦法

(1)更新Lync 2013,參考https://support.microsoft.com/en-us/help/4461446/october-2-2018-update-for-skype-for-business-2015-lync-2013-kb4461446
(2) 更新kype for Business 2016,參考https://support.microsoft.com/en-us/help/4092445/october-2-2018-update-for-skype-for-business-2016-kb4092445
回頁首