Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Graves vulnerabilidades en Skype

Graves vulnerabilidades en Skype

Por Deja un comentario

Se han documentado vulnerabilidades en Skype, que podrían ser explotadas
para conducir un ataque de denegación de servicios y/o para comprometer
el sistema de los usuarios de versiones sin actualizar.

Skype es una red de telefonía entre pares por Internet, cuyo protocolo
es cerrado y la descarga de los clientes que permiten la interconexión
es gratuita. Es muy popular, con un total de más de 60 millones de
usuarios y 187 millones de descargas. Skype es creación de Niklas
Zennström y Janus Friis, los fundadores de Kazaa.

Los errores encontrados son los siguientes:

1) Un error en la gestión de la importación podría ser aprovechado para
diseñar una vCard especialmente conformada para causar un desbordamiento
de búfer y la ejecución de código arbitrario, caso de que el usuario
importase una vCard maliciosa.

2) Un error en la gestión de las URIs específicas de Skype podría
facilitar la conducción de un desbordamiento de búfer, así como la
ejecución de código arbitrario, caso de que el usuario pulsase sobre
enlaces del tipo «callto://» y «skype://» especialmente preparados. Es
un tipo de error cuya primera manifestación tuvo lugar en noviembre de
2004, según se puede verificar en la referencia CVE-2004-1114, y que
ahora resurge en una modalidad similar.

3) Por último, el cliente Skype podría colapsar por desbordamiento de
búfer de tipo «heap», en los que se adultera el tamaño máximo de las
variables, al ser incorrecta la gestión del tráfico de la red de
clientes de Skype.

El fallo es multiplataforma, resultando afectas las versiones Windows
1.4.*.83 y anteriores, Mac OS X 1.3.*.16 y anteriores, Linux 1.2.*.17
y anteriores, y la versión Pocket PC 1.1.*.6 y anteriores. La posibilidad
de explotación remota, así como los resultados de la misma, le otorgan a
los problemas una criticidad bastante elevada.

La solución a los problemas pasa por la actualización, la cual está
disponible en el servidor de descargas de Skype. Se han publicado
actualizaciones para todas las plataformas, a excepción de Pocket PC,
cuyo parche es inminente. La recomendación, por tanto, es actualizar
a las versiones especificadas por el fabricante: 1.4.*.84 o posterior
para Windows, 1.3.*.17 o posterior para Mac OS X y 1.2.*.18 o posterior
para Linux. Los usuarios de Pocket PC deben estar atentos a los anuncios
del fabricante.

Sergio Hernando
shernando@hispasec.com

Más información:

Skype
http://www.skype.com

Descargas de Skype:
http://www.skype.com/download/

SKYPE-SB/2005-002: Buffer overflow in Skype-specific URI and VCARD import
handling
http://www.skype.com/security/skype-sb-2005-02.html

SKYPE-SB/2005-003: Heap overflow in networking routine
http://www.skype.com/security/skype-sb-2005-03.html

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.