QR code per la pagina originale

Vulnerabilità nel codice Skype nelle versione Windows precedenti e compresa la 3.8.*.115

,

È lo stesso Skype ad annunciare ai proprio utenti nel suo stesso sito un problema di codice dovuto a un errore nella gestione del software Skype degli URIs, col rischio di consentire a utenti malintenzionati di eseguire codice arbitrario.

URI handler in Skype esegue controlli, si legge dal sito, sul’URL per verificare che il link non contenga determinati file relativi a formati di file eseguibili. Se il link si trova a contenere l’estensione di un file eseguibile presente nella “lista nera” un messaggio di allerta viene mostrato all’utente.


Questo controllo è difettoso in 2 modi:

  1. il controllo è eseguito facendo il confronto tra maiuscole e minuscole;
  2. il controllo della “lista nera” non riesce a ricordare tutti i potenziali formati dei file eseguibili;

Questo permette a un malintenzionato di bypassare questi controlli e di eseguire codice arbitrario se la potenziale vittima esegue un click nell’URL fornita dal malintenzionato.

Il problema, prosegue il sito, è stato risolto nella versione 3.8.0.139 suggerendo inoltre di scaricare l’ultima versione del software direttamente dal sito.