Skype vulnerabile ai video killer

Alcuni esperti di sicurezza hanno messo in guardia gli utenti circa una vulnerabilitÓ di Skype che potrebbe spalancare le porte di un PC ai cracker. Skype ha giÓ preso i primi provvedimenti, e si Ŕ detta in procinto di rilasciare una patch

Roma - Il modo in cui il popolare client di comunicazione Skype interagisce con il motore di rendering di Internet Explorer potrebbe mettere a serio rischio la sicurezza degli utenti. A lanciare l'allarme è stato l'esperto Aviv Raff, che in questo advisory spiega e dimostra come sia possibile sfruttare la vulnerabilità, di tipo cross-zone scripting, per eseguire del codice a distanza nel contesto di sicurezza Intranet locale di IE.

Per approfittare del bug, i cracker o gli autori di malware devono trovare un sito "trusted" che contenga un errore cross-zone scripting: questo genere di vulnerabilità è tuttavia molto comune. Infatti ne è stata trovata una nel motore di ricerca dei video Dailymotion.com utilizzato da Skype: un malintenzionato avrebbe potuto postare un video maligno che, quando inserito in una chat di Skype, causava l'esecuzione di codice. Si parla al passato perché Skype ha già fatto sapere di aver temporaneamente sospeso la possibilità di inserire, all'interno di una chat, video provenienti da Dailymotion.com: il servizio verrà probabilmente ripristinato non appena la falla sarà corretta.

Nel frattempo, il noto bug hunter Petko Petkov invita gli utenti alla prudenza, spiegando in questo advisory che le minacce potrebbero venire anche da altre fonti, o utilizzare nuovi e imprevedibili vettori di attacco. L'hacker polacco ricorda che le vulnerabilità cross-zone scripting possono consentire ad un aggressore di accedere ad un sistema remoto e compiere azioni come leggere/scrivere file e lanciare comandi e programmi attraverso Windows Scripting Host.
"Raccomando di non usare Skype sugli hotspot pubblici", ha avvisato Petkov. "Non usate neppure la funzionalità Aggiungi il video alla chat fino a che non sarà rilasciata una patch. Tenete presente che Skype non è il solo programma affetto da questo tipo di problemi".

L'advisory ufficiale di Skype relativo a questa vulnerabilità è stato pubblicato qui.
15 Commenti alla Notizia Skype vulnerabile ai video killer
Ordina
  • "Skype per Windows" ...ovviamenteA bocca apertaA bocca aperta Fan Linux
    non+autenticato
  • Non starei troppo a ridere... siamo proprio sicuri che quell' anticaglia che c'è per il Mac (o ancora più vecchia per linux) funzioni bene? Boh...
    E' vero che questa specifica vulnerabilità per sua natura si può attivare solo su Windows, ma chissà quante altre ce ne sono!
    -----------------------------------------------------------
    Modificato dall' autore il 22 gennaio 2008 08.41
    -----------------------------------------------------------
  • - Scritto da: pentolino
    > Non starei troppo a ridere... siamo proprio
    > sicuri che quell' anticaglia che c'è per il Mac
    > (o ancora più vecchia per linux) funzioni bene?

    skype 2.0 per linux con supporto video.. basta e avanza, ..altro cosa ti serve?

    > Boh...
    > E' vero che questa specifica vulnerabilità per
    > sua natura si può attivare solo su Windows, ma
    > chissà quante altre ce ne
    > sono!

    hai ragione!! ..chissà quante altre ce ne sono (per windows)A bocca apertaA bocca apertaA bocca aperta
    > --------------------------------------------------
    > Modificato dall' autore il 22 gennaio 2008 08.41
    > --------------------------------------------------
    non+autenticato
  • ma da che parte stai? io dico solo che la versione per windows è aggiornata più spesso di quelle mac e linux messe insieme; ora se questo sia indice di scarso interesse da parte dell' azienda o di notevole stabilità e sicurezza delle versioni non win sinceramente non lo so, però permetti che qualche perplessità sulla mia versione Mac e Linux possa averla?
  • > ma da che parte stai? io dico solo che la
    > versione per windows è aggiornata più spesso di
    > quelle mac e linux messe insieme; ora se questo
    > sia indice di scarso interesse da parte dell'
    > azienda o di notevole stabilità e sicurezza delle
    > versioni non win sinceramente non lo so, però
    > permetti che qualche perplessità sulla mia
    > versione Mac e Linux possa
    > averla?
    Direi la primaOcchiolino
    non+autenticato
  • - Scritto da: pippo
    > > ma da che parte stai?

    sicuramente ..non dalla parte microsoftA bocca aperta

    io dico solo che la
    > > versione per windows è aggiornata più spesso di
    > > quelle mac e linux messe insieme; ora se questo
    > > sia indice di scarso interesse da parte dell'
    > > azienda o di notevole stabilità e sicurezza
    > delle

    direi lo scarso interesse a sviluppare ..indagini di mercato, strategia politica direi...proporzione fra utenti windows e linux

    > > versioni non win sinceramente non lo so, però
    > > permetti che qualche perplessità sulla mia
    > > versione Mac e Linux possa
    > > averla?
    > Direi la primaOcchiolino

    esatto, bisogna sempre partire dal postulato

    WINDOWS non appartiene all'insieme "SICUREZZA E STABILITA'"A bocca aperta
    non+autenticato
  • - Scritto da: Drakkar
    >
    > WINDOWS non appartiene all'insieme "SICUREZZA E
    > STABILITA'"
    >A bocca aperta
    questo sempre! Sorride
  • ;)

    ..vedremo con il kernel "singularity" , il process isolation e windows 7 ..se le cose cambieranno (in meglio si spera)
    non+autenticato
  • Si certo, ma per ora è ancora tutto sulla carta Rotola dal ridere
    non+autenticato
  • - Scritto da: TLH
    > Si certo, ma per ora è ancora tutto sulla carta
    > Rotola dal ridere

    già Rotola dal ridere..ho visto una presentaz video su boh? forse youtube o video di yahoo non ricordo..in cui un diafano ingegnere presentava un demone http (web server) che girava sotto una presunta pre-alpha version di windows 7 dentro una virtual machine..

    hai voglia se devono galoppare! si ritrovano come torvalds agli albori..pero' era il 1991A bocca apertaA bocca aperta Fan Linux
    non+autenticato
  • Senza dubbio windows sette sarà un buon SO. Questo perché Microsoft non si può permettere due buchi di fila, in questo momento.

    Il problema è che per quanto sia performante e sicuro, dubito che riesca a far sostanzialmente meglio di quello che sarà linux in quei tempi. Nel frattempo le aziende che sono passate a linux avranno avuto meno spese di licenza, poca differenza tra xp+office e linux+openoffice rispetto a vista+office, e per loro una nuova versione del sistema operativo significa semplicemente cambiare un kernel toccando il meno possibile programmi e configurazione. Il mio vecchio powerpc va piu' veloce adesso con l'ultimo kernel rispetto a quando andasse coi vecchi.
    non+autenticato