Cerca nel blog

2005/10/26

Falle gravi in Skype per Windows, Linux, Mac e PocketPC, aggiornatelo subito

Questo articolo vi arriva grazie alle gentili donazioni di "tobol", "andreazif***" e "enrisei".

Secunia segnala falle multiple in Skype per Windows, Linux, Mac e Pocket PC e consiglia vivamente di scaricare le versioni aggiornate che le correggono, se disponibili. Attenzione: come notano i commenti, nella versione Mac non ci si può fidare del controllo automatico degli aggiornamenti di Skype, se l'avete attivato. La versione Windows, invece, sembra avvisare correttamente della presenza di un aggiornamento.

Le falle consentono a un aggressore di bloccare il servizio o di penetrare nel computer della vittima. La prima falla è che Skype sbaglia nel gestire i link di tipo 'callto://' e 'skype://' che servono per esempio per lanciare una chiamata Skype da una pagina Web, e l'errore può essere sfruttato per produrre un buffer overflow, che a sua volta permette di eseguire comandi a piacimento sul computer della vittima. Per far scattare la trappola basta indurre la vittima a cliccare su un link appositamente confezionato.

Una seconda falla, invece, riguarda la gestione dell'importazione dei file Vcard. Per fare vittime è sufficiente indurre l'utente a importare un file di questo genere appositamente confezionato.

Una terza falla è insita nella gestione del traffico di rete da parte di Skype e può essere usata per generare un buffer overflow, con le solite conseguenze.

Secunia dice che l'uso ostile di queste falle fa crashare Skype.

Le falle sono presenti in Skype fino alle seguenti versioni incluse:
  • Skype per Windows 1.4.*.83
  • Skype per Mac 1.3.*.16
  • Skype per Linux 1.2.*.17
  • Skype per Pocket PC 1.1.*.6
Al momento sono disponibili versioni aggiornate di Skype che risolvono queste falle per Windows (la 1.4.*.84 e successive), Mac OS X (la 1.3.*.17 e successive) e Linux (la 1.2.*.18 e successive). Non è ancora disponibile la correzione per la versione Pocket PC.

12 commenti:

Anonimo ha detto...

Carissimo e utilissimo Attivissimo
(scusa l'umorismo spicciolo), una notarella per chi
(fortunato come il sottoscritto) usa Mac OSX (personalmente il 10.4.2) e Skype:
aprendo il programma e andando sul menu "Skype" e cliccando su "Check for Update",
a me che avevo la 1.3.0.14, ha aperto una pagina del sito skype.com che diceva
che avevo GIA' la versione più recente. Poi, visto che nella tua mail c'era scritto ".17 e successive",
mi sono fidato più di te che di Skype, sono andato alla homepage e in effetti l'ultima versione ad oggi è la .17.

Ora l'ho installato e sto più tranquillo, ma magari qualcuno dei tuoi lettori si fida di "Check for Update"
e allora sarebbe meglio dire esplicitamente che la procedura per aggiornarsi è quella "manuale" che passa dalla homepage di skype.com!

Ancora grazie per il tuo impegno!

Inchiostro Simpatico ha detto...

Anche in Windows il controllo della versione non funziona correttamente.

Consiglio a tutti di scaricare l'ultima versione dal sito ufficiale.

Aggionare skype oltre a migliorare la propria sicurezza, riduce la possibilità di avere conversazione con audio pessimo e/o a scatti. Versioni vecchie non vengono supportate benissimo da quelle nuove.

Anonimo ha detto...

per chi ha la BETA 1.4.13.56 scaricata dal sito di skype ci sono problemi oppure no?

grazie!
Zampa

Paolo Attivissimo ha detto...

Non lo so; le versioni dichiarate esenti sono solo quelle che ho citato, stando alle mie fonti. Usare software beta è comunque sempre un rischio :-)

Pierluigi ha detto...

Grazie di tutto e...
lancio un quesito su skype che spero non mi qualifichi come deficiente: usando skype-out (a pagamento verso i telefoni non connessi al pc) che accidenti di tariffe vengono applicate se chiamo cellulari?
Per i tel. fissi le tariffe sono pubblicate con chiarezza sul sito di skype, ma per i cellulari non sono riuscito a trovare nulla. Qualcuno mi sa aiutare?
Con simpatia
Pierluigi

Paolo Attivissimo ha detto...

Le tariffe di base sono qui:
http://www.skype.com/products/skypeout/rates/

Le tariffe verso cellulari sono qui:
http://www.skype.com/products/skypeout/rates/all_rates.html

ahime' sono in inglese, non so se c'e' una pagina in italiano.

Ciao da Paolo.

Pierluigi ha detto...

Ecco, lo sapevo, la figura da def. è sempre in agguato. Ovviamente la pagina "allrates" l'avevo già vista, ma non mi ero accorto che, paese per paese, riportava anche le tarffe "mobile".
Grazie ancora caro Paolo, anche per la tempestività.
Ciao a te e a tutti gli amici delle tue pagine
Pierluigi

Anonimo ha detto...

una curiosità: perchè hai scritto versione "Linux 1.2.*.17" invece di "Linux 1.2.0.17" ?

Paolo Attivissimo ha detto...

Perche' cosi' scrive l'avviso ufficiale. Mi sono chiesto anch'io la ragione dell'asterisco, ma nel dubbio l'ho riportata pari pari piuttosto che inventare.

claudio ha detto...

Aiuto!! Ho dei problemi col cordless, non conosco l inglese e non riesco a trovare neanche un indirizzo mail a cui rivolgermi, con skype o con la ditta produttrice del cordless. Qualcuno può aiutarmi? mi viene segnalato il tel non collegato al pc, poi l ok, poi skype non funzionante, poi l ok e si rincomincia da capo, il tutto nel giro di pochi secondi. A volte invece il led della base inizia a lampeggiare velocemente e mi viene segnalato (fisso) il tel. non collegato al pc. Non c entra la porta usb. Stacco lo spinotto dell alimentazione e poi si rincomincia con la trafila di prima.

Paolo Attivissimo ha detto...

Non ti posso dare molto aiuto senza essere sul posto, ma posso suggerirti di contattare il rivenditore: ci deve essere un suo recapito nella confezione. Cerca anche il nome del prodotto in Google Groups e guarda se altri hanno avuto problemi con lo stesso apparecchio.

Ciao da Paolo.

Anonimo ha detto...

http://www.openlinux.splinder.com/