Secunia segnala falle multiple in Skype per Windows, Linux, Mac e Pocket PC e consiglia vivamente di scaricare le versioni aggiornate che le correggono, se disponibili. Attenzione: come notano i commenti, nella versione Mac non ci si può fidare del controllo automatico degli aggiornamenti di Skype, se l'avete attivato. La versione Windows, invece, sembra avvisare correttamente della presenza di un aggiornamento.
Le falle consentono a un aggressore di bloccare il servizio o di penetrare nel computer della vittima. La prima falla è che Skype sbaglia nel gestire i link di tipo 'callto://' e 'skype://' che servono per esempio per lanciare una chiamata Skype da una pagina Web, e l'errore può essere sfruttato per produrre un buffer overflow, che a sua volta permette di eseguire comandi a piacimento sul computer della vittima. Per far scattare la trappola basta indurre la vittima a cliccare su un link appositamente confezionato.
Una seconda falla, invece, riguarda la gestione dell'importazione dei file Vcard. Per fare vittime è sufficiente indurre l'utente a importare un file di questo genere appositamente confezionato.
Una terza falla è insita nella gestione del traffico di rete da parte di Skype e può essere usata per generare un buffer overflow, con le solite conseguenze.
Secunia dice che l'uso ostile di queste falle fa crashare Skype.
Le falle sono presenti in Skype fino alle seguenti versioni incluse:
- Skype per Windows 1.4.*.83
- Skype per Mac 1.3.*.16
- Skype per Linux 1.2.*.17
- Skype per Pocket PC 1.1.*.6
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.