QR code per la pagina originale

Corrette due gravi falle di Skype

Dopo le segnalazioni del ricercatore Aviv Raff sul modo in cui il software gestisce localmente il codice HTML l'azienda produttrice del software pare aver messo a posto il programma, ma ancora si attende l'approvazione del ricercatore israeliano

,

Arriva comunicazione da Skype per cui sarebbe stata risolta una serie di problemi segnalati dal ricercatore israeliano Aviv Raff in gennaio per i quali il programma di VoIP si esponeva a possibili attacchi esterni che sfruttassero il modo in cui il software gestisce l’HTML legato ai file video. Disponibile al download dal sito ufficiale, ora, la versione 3.6.0.248 del client.

Secondo Raff il problema era tutto dovuto al fatto che per gestire le pagine HTML il programma utilizza i controlli di Internet Explorer ma eseguiti in una modalità a basso grado di sicurezza e localmente. E oltre al problema dell’HTML legato ai video è sopraggiunto anche quello legato alla funzione SkypeFind per la quale gli utenti possono consigliare piccoli business ai propri contatti scrivendo recensioni. All’interno di tali recensioni infatti possono essere inseriti script che vengono eseguiti senza controllo o con un controllo non abbastanza accurato.

Addirittura di tutte le vulnerabilità elencate e che ha fatto rientrare sotto la categoria “cross-scripting” Raff aveva proposto un’unica soluzione e anche molto semplice per quelli di Skype, cioè cambiare un valore nelle chiavi del registro di sistema in modo da bloccare l’esecuzione locale.

Dalla compagnia produttrice del software sono arrivati però prima rimedi perlopiù grotteschi cambiando il modo in cui il software si connette a siti di sharing video come Dailymotion o Metacafe, entrambi partner di Skype, e solo ora una patch efficace che rivede la sicurezza applicata ai controlli IE utilizzati per eseguire codice HTML e risolve i problemi relativi a SkypeFind.

Ad ogni modo, per chi non si fida della patch, va precisato che Raff non ha ancora dato la sua approvazione: prima si attende che Skype risponda ad alcune domande poste riguardo l’aggiornamento e poi potrà essere confermato il fatto che il problema è definitivamente sanato.

Notizie su: