Se han documentado vulnerabilidades en Skype, que podrían
ser explotadas para conducir un ataque de denegación de servicios y/o para
comprometer el sistema de los usuarios de versiones sin actualizar.
Skype es una red de telefonía entre pares por Internet,
cuyo protocolo es cerrado y la descarga de los clientes que permiten la interconexión
es gratuita.
Es muy popular, con un total de más de 60 millones de usuarios y 187
millones de descargas.
Skype es creación de Niklas Zennström y Janus Friis, los fundadores
de Kazaa.
Los errores encontrados son los siguientes:
1) Un error en la gestión de la importación podría ser
aprovechado para diseñar una vCard especialmente conformada para causar
un desbordamiento de búfer y la ejecución de código arbitrario,
caso de que el usuario importase una vCard maliciosa.
2) Un error en la gestión de las URIs específicas de Skype podría
facilitar la conducción de un desbordamiento de búfer, así
como la ejecución de código arbitrario, caso de que el usuario
pulsase sobre
enlaces del tipo "callto://" y "skype://" especialmente
preparados. Es un tipo de error cuya primera manifestación tuvo lugar
en noviembre de 2004, según se puede verificar en la referencia CVE-2004-1114,
y que ahora resurge en una modalidad similar.
3) Por último, el cliente Skype podría colapsar por desbordamiento
de búfer de tipo "heap", en los que se adultera el tamaño
máximo de las variables, al ser incorrecta la gestión del tráfico
de la red de clientes de Skype.
El fallo es multiplataforma, resultando afectas las versiones Windows 1.4.*.83
y anteriores, Mac OS X 1.3.*.16 y anteriores, Linux 1.2.*.17 y anteriores, y
la versión Pocket PC 1.1.*.6 y anteriores. La posibilidad de explotación
remota, así como los resultados de la misma, le otorgan a los problemas
una criticidad bastante elevada.
La solución a los problemas pasa por la actualización, la cual
está disponible en el servidor de descargas de Skype. Se han publicado
actualizaciones para todas las plataformas, a excepción de Pocket PC,
cuyo parche es inminente.
La recomendación, por tanto, es actualizar a las versiones especificadas
por el fabricante: 1.4.*.84 o posterior para Windows, 1.3.*.17 o posterior para
Mac OS X y 1.2.*.18 o posterior para Linux.
Los usuarios de Pocket PC deben estar atentos a los anuncios del fabricante.
Fuente: Hispasec |