Cerca nel blog

2005/10/26

Falle gravi in Skype per Windows, Linux, Mac e PocketPC, aggiornatelo subito

Questo articolo vi arriva grazie alle gentili donazioni di "tobol", "andreazif***" e "enrisei".

Secunia segnala falle multiple in Skype per Windows, Linux, Mac e Pocket PC e consiglia vivamente di scaricare le versioni aggiornate che le correggono, se disponibili. Attenzione: come notano i commenti, nella versione Mac non ci si può fidare del controllo automatico degli aggiornamenti di Skype, se l'avete attivato. La versione Windows, invece, sembra avvisare correttamente della presenza di un aggiornamento.

Le falle consentono a un aggressore di bloccare il servizio o di penetrare nel computer della vittima. La prima falla è che Skype sbaglia nel gestire i link di tipo 'callto://' e 'skype://' che servono per esempio per lanciare una chiamata Skype da una pagina Web, e l'errore può essere sfruttato per produrre un buffer overflow, che a sua volta permette di eseguire comandi a piacimento sul computer della vittima. Per far scattare la trappola basta indurre la vittima a cliccare su un link appositamente confezionato.

Una seconda falla, invece, riguarda la gestione dell'importazione dei file Vcard. Per fare vittime è sufficiente indurre l'utente a importare un file di questo genere appositamente confezionato.

Una terza falla è insita nella gestione del traffico di rete da parte di Skype e può essere usata per generare un buffer overflow, con le solite conseguenze.

Secunia dice che l'uso ostile di queste falle fa crashare Skype.

Le falle sono presenti in Skype fino alle seguenti versioni incluse:
  • Skype per Windows 1.4.*.83
  • Skype per Mac 1.3.*.16
  • Skype per Linux 1.2.*.17
  • Skype per Pocket PC 1.1.*.6
Al momento sono disponibili versioni aggiornate di Skype che risolvono queste falle per Windows (la 1.4.*.84 e successive), Mac OS X (la 1.3.*.17 e successive) e Linux (la 1.2.*.18 e successive). Non è ancora disponibile la correzione per la versione Pocket PC.

Nessun commento: