Skype es un el cliente de VoIP (voz sobre IP) con millones de usuarios por todo el mundo y que está disponible para distintas plataformas Windows, Linux y Mac OS X.
El problema está causado por un error al manejar URIs del tipo “file:”, que podría ser explotado para saltarse las advertencias de seguridad al ejecutar archivos con extensiones peligrosas. La versión de Skype para Windows hace uso de un filtro para prevenir la posible ejecución de archivos, almacenados localmente, por medio de URIs del tipo “file:” (como por ejemplo “file://C:/archivomalicioso.exe”).
El problema está en que dicho filtro solo advierte si detecta un intento de acceso a archivos con las siguientes extensiones: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl,.crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp y .js. Por lo tanto permitiría la ejecución de forma directa de otros archivos con extensiones potencialmente peligrosas, como pueden ser: .pif, .vbs o .scr entre otras.
Pero la deficiencia más grave del filtro reside en que solo mostraría el cuadro de advertencia si la extensión del archivo supuestamente peligroso al que se intenta acceder está en minúscula. Si la extensión incluyera alguna letra mayúscula (como por ejemplo “file://C:/archivomalicioso.Exe”) entonces la petición se saltaría el filtro y el archivo sería ejecutado sin que recibiéramos ningún tipo de advertencia al respecto. Si la vulnerabilidad fuera explotada con éxito, un atacante podría ejecutar cualquier archivo residente en el sistema víctima, pudiendo comprometer por completo dicho sistema.
La vulnerabilidad fue descubiertas por Ismael Briones (Inkatel) y notificada a Skype Technologies por medio de iDefense el día 5 de mayo. El pasado 4 de junio iDefense y Skype hicieron públicos de forma conjunta los detalles de la vulnerabilidad, una vez que ya existe una versión disponible que corrige el fallo.
El problema afecta a todas las versiones de Skype para Windows anteriores a la 3.8.0.139. Se recomienda actualizar a la nueva versión no vulnerable (v.3.8.0.139), disponible para su descarga desde este enlace.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…