Categories: SeguridadVirus

Graves vulnerabilidades en Skype

Skype es una red de telefonía entre pares por Internet, cuyo protocolo es cerrado y la descarga de los clientes que permiten la interconexión es gratuita. Es muy popular, con un total de más de 60 millones de usuarios y 187 millones de descargas. Skype es creación de Niklas Zennström y Janus Friis, los fundadores de Kazaa.

Los errores encontrados son los siguientes:

1) Un error en la gestión de la importación podría ser aprovechado para diseñar una vCard especialmente conformada para causar un desbordamiento de búfer y la ejecución de código arbitrario, caso de que el usuario importase una vCard maliciosa.

2) Un error en la gestión de las URIs específicas de Skype podría facilitar la conducción de un desbordamiento de búfer, así como la ejecución de código arbitrario, caso de que el usuario pulsase sobre enlaces del tipo “callto://” y “skype://” especialmente preparados. Es un tipo de error cuya primera manifestación tuvo lugar en noviembre de 2004, según se puede verificar en la referencia CVE-2004-1114, y que ahora resurge en una modalidad similar.

3) Por último, el cliente Skype podría colapsar por desbordamiento de búfer de tipo “heap”, en los que se adultera el tamaño máximo de las variables, al ser incorrecta la gestión del tráfico de la red de clientes de Skype.

El fallo es multiplataforma, resultando afectas las versiones Windows 1.4.*.83 y anteriores, Mac OS X 1.3.*.16 y anteriores, Linux 1.2.*.17 y anteriores, y la versión Pocket PC 1.1.*.6 y anteriores. La posibilidad de explotación remota, así como los resultados de la misma, le otorgan a los problemas una criticidad bastante elevada.

La solución a los problemas pasa por la actualización, la cual está disponible en el servidor de descargas de Skype. Se han publicado actualizaciones para todas las plataformas, a excepción de Pocket PC, cuyo parche es inminente. La recomendación, por tanto, es actualizar a las versiones especificadas por el fabricante: 1.4.*.84 o posterior para Windows, 1.3.*.17 o posterior para Mac OS X y 1.2.*.18 o posterior para Linux. Los usuarios de Pocket PC deben estar atentos a los anuncios del fabricante.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago