QR code per la pagina originale

Skype, falla grave nel software di VoIP

Una falla estremamente grave è stata riscontrata dallo stesso vendor nel software Skype. Un click su un link appositamente creato può mandare in crash il sistema per poi attaccarlo con codice arbitrario. Falla chiusa, nuove release disponibile.

,

Una falla nel noto software di VoIP Skype per Windows mette in serio pericolo gli utenti aventi installata una versione vulnerabile del prodotto. Il rischio è giudicato estremamente alto, ma la software house ha già corretto il tutto nella nuova versione 1.0.0.100 (verso la quale se ne consiglia l’update).

Le versioni soggette alla falla sono quelle comprese tra la versione 1.0.*.95 e la versione 1.0.*.98. La scoperta della falla è da attribuirsi allo stesso produttore del software.

Il problema risiede nella difficoltosa interpretazione di comandi “callto:” dall’indirizzo troppo lungo: oltre i 4096 caratteri, infatti, il software cade in errore ed il crash apre il sistema alla potenziale e pericolosa esecuzione di codice arbitrario. Ai fini dell’exploit è dunque sufficiente un link preparato ad hoc ed un click che rappresenta la scintilla dell’attacco. Skype ha segnalato il tutto solo nel momento in cui la nuova versione è stata distribuita, dunque per gli utenti il rischio è proporzionale al tempo passato senza provvedere all’aggiornamento.

Skype gira su sistemi Windows, Mac e Linux ed è già stato scaricato da 34 milioni di utenti ed è stato utilizzato in conteporanea già da più di un milione di utenti. Kelly Larabee, analista Skype, richiama l’attenzione dell’utenza ed invita all’update prima che eventuali problemi possano manifestarsi.