Skype, recentemente acquisita da Microsoft, ha rilasciato un importante aggiornamento: la release 5.5 del programma. Tra le novità principali c’è la possibilità di interagire con le pagine e con gli account Facebook: coloro che decideranno di installare Skype 5.5, infatti, potranno fruire di alcune delle funzionalità del celeberrimo social network semplicemente ricorrendo al client VoIP. Utilizzando esclusivamente l’interfaccia di Skype sarà quindi permesso aggiornare la propria bacheca su Facebook, pubblicare commenti e verificare se i propri amici risultano o meno connessi al sito.
Il ricercatore David Vieira-Kurz ha però individuato alcune vulnerabilità nella nuova release di Skype che egli ha valutato come particolarmente gravi. Un aggressore, infatti, secondo quanto dimostrato pubblicamente, potrebbe riuscire a prendere possesso della sessione di un altro utente senza nemmeno dover essere amico della vittima o contattarla in alcun modo.
Vieira-Kurz ha spiegato che il codice dannoso, dal quale partirà l’attacco, può essere inserito in una nota pubblicata su una bacheca od all’interno di un commento, su Facebook. La falla, come è facile evincere esaminando questo video, può essere risolta, dagli sviluppatori di Skype, modificando le modalità con le quali l’applicazione “recupera” e propone all’utente il materiale pubblicato nelle pagine di Facebook. Il codice potenzialmente nocivo, esposto dall’aggressore sul social network dovrebbe essere modificato dinamicamente, in lettura, da Skype in modo tale da neutralizzare (escaping) tutto il codice potenzialmente nocivo.
Il ricercatore consiglia di astenersi dall’installare la nuova versione di Skype almeno fintanto che la vulnerabilità non sarà definitivamente risolta.