2771 Letture

Skype: attenzione alle nuove falle di sicurezza

Aggressori remoti possono potenzialmente essere in grado di sfruttare alcune vulnerabilità di sicurezza scoperte in Skype, il famoso software VoIP.
A rendersi protagonista della notizia è stato Aviv Raff, noto ricercatore israeliano, che ha spiegato come malintenzionati possano eseguire codice nocivo sul sistema-vittima inducendo l'utente ad aprire file video maligni.
"Skype utilizza un controllo integrato in Microsoft Internet Explorer per il rendering di pagine HTML visualizzate internamente od esternamente al client VoIP", ha dichiarato Raff. "Il problema è che Skype opera nella modalità Intranet locale di Internet Explorer ed è noto come a questo livello il comportamento delle pagine web non venga in alcun modo limitato".
Traduzione: nel caso in cui un aggressore riesca ad "iniettare" del codice nocivo in una delle pagine HTML trattate da Skype, potrebbe essere in grado di compiere operazioni veramente pericolose sul computer dell'utente.
Raff ha pubblicato anche una dimostrazione pratica del possibile attacco: richiamando una pagina contenente contributi video da Skype, attraverso la funzione "Chat" od "Aggiungi video", viene eseguito codice arbitrario.
Petko Petkov ha fatto eco alla scoperta spiegando come l'attacco risulti davvero semplice da mettere in atto.
Skype ha riconosciuto la presenza del problema di sicurezza confermando come interessi tutte le versioni per Windows del prodotto. Il bollettino pubblicato da Skype assegna il massimo grado di pericolosità alla vulnerabilità in questione.
Per il momento non è ancora disponibile una patch. L'azienda si è quindi affrettata a disattivare temporaneamente la funzionalità che può permettere agli aggressori di far leva sulla vulnerabilità. Il consiglio è quindi quello di scaricare ed installare immediatamente l'ultima versione del client VoIP (ved. questa pagina).
Secondo il ricercatore Petko Petkov vi sarebbero però altre pericolose vulnerabilità che Skype non ha ancora preso in considerazione.

  1. Avatar
    Lettore anonimo
    21/01/2008 13.12.27
    Perché utilizzare il controllo integrato in Microsoft Internet Explorer?
    Non c'è un'alternativa?
Skype: attenzione alle nuove falle di sicurezza - IlSoftware.it