lunes, 22 de mayo de 2006

Revelación remota de archivos en Skype para Windows

Se ha anunciado una vulnerabilidad en los clientes de Skype para
Windows, que puede ser empleada por usuarios maliciosos para evitar
restricciones de seguridad y obtener archivos de un sistema remoto.

Un atacante que construya una URL de Skype modificada específicamente
puede llegar a provocar el inicio de una transferencia de un archivo
a otro usuario de Skype. Para ello, basta con que el usuario atacado
acceda al enlace malicioso para que se inicie la transferencia sin
su consentimiento. Es necesario que el receptor del archivo haya
sido previamente autorizado por el usuario que envía el archivo

Skype confirma como vulnerables los clientes Windows con versiones
anteriores a la 2.0.*.104 (incluida) y las versiones 2.5.*.0 a la
2.5.*.78 (incluida). Se han publicado versiones actualizadas que
corrigen el problema:
Skype 2.5, versiones 2.5.*.79 o posteriores
Skype 2.0, versiones 2.0.*.105 o posteriores
Disponibles para descarga en:
http://www.skype.com/products/skype/windows/


Antonio Ropero
antonior@hispasec.com


Más información:

SKYPE-SB/2006-001: Improper handling of URI arguments
http://www.skype.com/security/skype-sb-2006-001.html