Skip to content

Graves vulnerabilidades en Skype

Publicado por Sergio Hernando el 26 octubre 2005

Se han documentado vulnerabilidades en Skype, que podrían ser explotadas para conducir un ataque de denegación de servicios y/o para comprometer el sistema de los usuarios de versiones sin actualizar.

skype

Skype es una red de telefonía entre pares por Internet, cuyo protocolo es cerrado y la descarga de los clientes que permiten la interconexión es gratuita. Es muy popular, con un total de más de 60 millones de usuarios y 187 millones de descargas. Skype es creación de Niklas Zennström y Janus Friis, los fundadores de Kazaa.

Los errores encontrados son los siguientes:

  1. Un error en la gestión de la importación podría ser aprovechado para diseñar una vCard especialmente conformada para causar un desbordamiento de búfer y la ejecución de código arbitrario, caso de que el usuario importase una vCard maliciosa.
  2. Un error en la gestión de las URIs específicas de Skype podría facilitar la conducción de un desbordamiento de búfer, así como la ejecución de código arbitrario, caso de que el usuario pulsase sobre enlaces del tipo "callto://" y "skype://" especialmente preparados. Es un tipo de error cuya primera manifestación tuvo lugar en noviembre de 2004, según se puede verificar en la referencia CVE-2004-1114, y que ahora resurge en una modalidad similar.
  3. Por último, el cliente Skype podría colapsar por desbordamiento de búfer de tipo "heap", en los que se adultera el tamaño máximo de las variables, al ser incorrecta la gestión del tráfico de la red de clientes de Skype.

El fallo es multiplataforma, resultando afectas las versiones Windows 1.4.*.83 y anteriores, Mac OS X 1.3.*.16 y anteriores, Linux 1.2.*.17 y anteriores, y la versión Pocket PC 1.1.*.6 y anteriores. La posibilidad de explotación remota, así como los resultados de la misma, le otorgan a los problemas una criticidad bastante elevada.

La solución a los problemas pasa por la actualización, la cual está disponible en el servidor de descargas de Skype. Se han publicado actualizaciones para todas las plataformas, a excepción de Pocket PC, cuyo parche es inminente. La recomendación, por tanto, es actualizar a las versiones especificadas por el fabricante: 1.4.*.84 o posterior para Windows, 1.3.*.17 o posterior para Mac OS X y 1.2.*.18 o posterior para Linux. Los usuarios de Pocket PC deben estar atentos a los anuncios del fabricante.

Más Información:

Skype

Descargas de Skype

SKYPE-SB/2005-002: Buffer overflow in Skype-specific URI and VCARD import handling

SKYPE-SB/2005-003: Heap overflow in networking routine

Noticia original publicada en Hispasec Sistemas

Be Sociable, Share!

Categoría/s → Seguridad

5 comentarios
  1. 1 abril 2016

    It’s good to see someone thinking it through.

  2. 13 mayo 2016

    As a writer, I focus on all of those things. Perhaps not equally, but they are each at the forefront at some point. As a reader, I have a tendency to get attached to characters and locations rather than plot.

  3. 8 julio 2016

    Haha, shouldn’t you be charging for that kind of knowledge?!

  4. 3 noviembre 2016

    Thank you for a great toturial – I totally adore the way you use the Martha Stewart punch around the page punches and will totally "steal" it and use it myself.HugzEa

  5. 16 noviembre 2016

    Stai asa ca pui problema un pic gresit. Spatiul respectiv se pare ca e proprietatea bisericii/episcopiei/patriarhiei sau ce au ei acolo.Nu vad nimic anormal deci ca proprietarul inchiriaza spatiul respectiv contra unei taxe.Problema de fond este ca biserica a ajuns sa detina un astfel de patrimoniu si ca-i este permis sa desfasoare activitati comerciale, patrimoniale, in afara "obiectului" de activitate. Adica comertul cu lumanari si iluzii.

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS