Skype ha da poco sanato una vulnerabilità di sicurezza che, immediatamente dopo la sua scoperta, avvenuta nelle scorse settimane, aveva costretto la società a disattivare alcune funzionalità del popolare client VoIP legate alla gestione delle chat.
L’azienda, acquisita da eBay nel Settembre 2005, ha comunicato di avere risolto la falla resa nota dal ricercatore israeliano Aviv Raff. La vulnerabilità, definita “cross-zone scripting bug”, poteva essere sfruttata da un malintenzionato per eseguire codice dannoso sulla macchina dell’utente spronando quest’ultimo ad aprire file video opportunamente modificati.
“Skype utilizza un controllo integrato in Microsoft Internet Explorer per il rendering di pagine HTML visualizzate internamente od esternamente al client VoIP”, dichiarò Raff. “Il problema è che Skype opera nella modalità Intranet locale di Internet Explorer ed è noto come a questo livello il comportamento delle pagine web non venga in alcun modo limitato”.
La scorsa settimana Raff ha individuato un’altra lacuna di sicurezza. Questa volta è SkypeFind, la funzionalità che consente agli utenti di pubblicare recensioni sulle attività commerciali, al centro del mirino: secondo l’esperto, un aggressore potrebbe provocare danni al sistema dell’utente semplicemente inserendo uno script maligno all’interno di una recensione pubblicata attraverso SkypeFind.
Raff ha poi criticato Skype affermando che per risolvere questo tipo di vulnerabilità “basta modificare un valore memorizzato nel registro di sistema, in modo tale da disabilitare la modalità di funzionamento Intranet locale”.
Confermando la risoluzione di entrambe le problematiche, Skype ha spiegato di aver, appunto, limitato il raggio d’azione del controllo per il rendering delle pagine web alla sola “area Internet”. Contestualmente, la società invita tutti gli utenti a prelevare ed installare l’ultima versione del client VoIP (3.6.0.248).