Secunia ha da poco pubblicato sul suo sito web un importante messaggio di allerta rivolto a tutti gli utenti di Skype, software per la telefonia via Internet (VoIP). Al bollettino di sicurezza pubblicato da Secunia, ha fatto subito eco Skype Technologies che ha reso pubblici due advisory (ved. questa pagina e questo indirizzo) per spiegare in dettaglio alcune gravi vulnerabilità di sicurezza recentemente messe a nudo nel famoso software per colloquiare con colleghi, amici e parenti, in tutto il mondo, attraverso la rete Internet.
Il primo problema l’errata gestione, da parte di Skype, di alcuni URI.
URI è l’acronimo di “Uniform Resource Identifier”: si tratta di protocolli Internet che fanno uso, come sintassi, di una sequenza specifica di stringhe o caratteri. Una tipica sintassi può essere, ad esempio, “http”, “ftp” o “mailto” seguiti da un carattere di interpunzione (generalmente il “:”; es.: http:, ftp:, mailto:, e così via). I caratteri successivi, quindi, vanno inseriti nella forma prevista nello schema dello specifico protocollo.
Nel caso di Skype, URI quali callto://
e skype://
possono essere sfruttati, da parte di aggressori remoti, per causare un errore di buffer overflow con conseguente possibilià di esecuzione di codice nocivo sul sistema “vittima”. Non solo, un’ulteriore vulnerabilità di sicurezza può comportare l’esecuzione di codice potenzialmente pericoloso nel momento in cui l’utente di Skype importi una VCARD appositamente modificata, da un malintenzionato, per causare danni. Infine, la ricezione – da parte di Skype – di particolari pacchetti TCP/UDP malformati può causare il crash del software.
Sia Secunia che Skype Technologies, quindi, caldeggiano l’immediato aggiornamento all’ultima versione disponibile di Skype in modo da evitare di incorrere in qualunque tipo di problema (sono state rilasciate nuove release, opportunamente corrette, per sistemi Windows, Linux, MacOS e PocketPC).
L’ultima versione per sistemi Windows, è prelevabile gratuitamente da questa pagina. Per aggiornare Skype è sufficiente avviare l’installazione della nuova versione (la precedente release sarà automaticamente sovrascritta).
Skype: scoperte tre pericolose vulnerabilità. Da aggiornare subito.
Secunia ha da poco pubblicato sul suo sito web un importante messaggio di allerta rivolto a tutti gli utenti di Skype, software per la telefonia via Internet (VoIP).