QR code per la pagina originale

Skype, scoperta una nuova vulnerabilità

Skype è affetto da una falla in grado di manifestarsi nel momento in cui un utente ricerca nuovi video all'interno della sezione Dailymotion e in grado di eseguire codice arbitrario nel computer della vittima. Tale sezione risulta al momento disabilitata

,

Un bollettino di sicurezza pubblicato da Skype rende nota la presenza di una ‘Cross Zone Scripting Vulnerability‘ all’interno del popolare programma VoIP in grado di manifestarsi nel momento in cui un utente cerca di scaricare un video dalla sezione Dailymotion con l’intento di aggiungerlo al proprio umore o alla chat in corso. In attesa di una patch risolutiva, Skype ha momentaneamente inibito la possibilità di accedere al tale galleria.

Per ottenere l’exploit, un malintenzionato deve inserire un video opportunamente progettato all’interno di un sito partner di Skype che presenta un errore di tipo cross-zone scripting (come ad esempio il già citato Dailymotion). Se un utente compie una ricerca su tale sito utilizzando le voci “Aggiungi un video al messaggio del mio umore” oppure “Aggiungi il video alla chat”, il video in questione è in grado di iniettare nel computer della vittima uno script e eseguire codice arbitrario all’interno del suo computer. Al momento la vulnerabilità riguarda solamente Skype per Windows, incluse le versioni 3.5 e 3.6.

Secondo Aviv Raff, ricercatore operante nell’ambito della sicurezza informatica, Skype si avvale del web control di Internet Explorer per renderizzare le pagine HTML interne ed esterne quando si utilizzano funzioni tipo “invia denaro” o “Aggiungi il video alla chat”; il programma però esegue il web control nel contesto Local Zone di Internet Explorer. Il problema principale, risiede nel fatto che Skype esegue le pagine HTML in una modalità Local Zone non protetta, rendendo possibile così l’iniezione di script contenuti all’interno delle pagine visitate.

Il ricercatore Miroslav Lučinskij, definisce la falle come “Cross Site Scripting” ma anche “Cross-Zone Scripting”, poiché gli script vengono eseguiti in base alla Local Zone di Internet Explorer. Un malintenzionato può così eseguire l’upload di un video, impostare una parola chiave particolarmente stuzzicante e attendere che le vittime eseguano la loro ricerca.

Il portale di Raff illustra un proof-of-concept in grado di eseguire la classica calcolatrice in seguito alla ricerca delle parole “calc test”.

Notizie su: