Se ha encontrado una vulnerabilidad en Skype, el popular software de VoIP (Voice over IP), que podría ser explotada por un atacante remoto para ejecutar código arbitrario, y de esa forma lograr el compromiso por completo del sistema afectado.
El problema está causado por un error en el manejador de URIs skype4com al procesar valores cortos de cadenas. Skype4com se crea durante el proceso de instalación de Skype. La vulnerabilidad podría ser explotada por un atacante remoto para corromper la memoria heap, lo que podría ser aprovechado por dicho atacante para llevar a cabo ejecución de código arbitrario en el sistema con los permisos del usuario ejecutando Skype.
Para que la vulnerabilidad sea explotable, es necesario que el usuario visite una página web maliciosa. La vulnerabilidad fue notificada por un investigador anónimo a Skype Technologies el pasado día 2 de Noviembre y está confirmada para todas las versiones anteriores a la 3.6 Gold, que vio la luz el pasado día 15.
Una vez más Skype ha cerrado la vulnerabilidad sin informar a sus usuarios (la última alerta de seguridad publicada por la compañía data de Octubre de 2006). Los usuarios de Skype pudieron enterarse del problema el día de ayer en Zero Day Initiative, una web especializada en publicar las vulnerabilidades descubiertas de forma responsable, una vez que ya han sido parcheadas.
Se recomienda actualizar a Skype 3.6 Gold o superior. En la actualidad, la última versión disponible desde la página web del fabricante es la 3.6.0.216, que se puede descargar desde:
http://www.skype.com/go/downloading
Se recomienda no visitar ningún enlace ni página web de dudosa procedencia.
pmolina@hispasec.com
Deja una respuesta