Roma – A metà settimana Skype ha rilasciato nuove versioni del suo celebre client VoIP che sistemano alcune importanti falle di sicurezza sfruttabili da remoto.
Il primo problema è legato ad un buffer non verificato nel codice che gestisce gli indirizzi URI (Uniform Resource Identifier) di tipo “callto://” e “skype://”. L’errore potrebbe essere innescato dall’apertura di un link malevolo creato appositamente da un cracker per eseguire del codice a sua scelta.
La seconda vulnerabilità è dovuta alla non corretta gestione di Skype dei biglietti da visita digitali in formato VCard. Anche in questo caso un aggressore potrebbe sfruttare la debolezza per eseguire del codice a sua scelta, ma per riuscirci dovrebbe prima indurre un utente ad importare in Skype un file VCard malevolo.
La terza falla è causata da un non meglio specificato errore nella gestione, da parte del software, di certi pacchetti di rete. Al momento sembra che questo bug, di tipo buffer overflow, possa essere sfruttato esclusivamente per attacchi di tipo denial of service.
Sia FrSIRT che Secunia hanno giudicato questi problemi di sicurezza, nel loro complesso, come molto pericolosi. Gli esperti hanno però sottolineato che, al momento, non si ha notizia di exploit o virus in grado di far leva su tali spifferi.
Le tre vulnerabilità sono state accertate in varie versioni di Skype per Windows, Mac OS X, Linux e Pocket PC. Le release patchate, tra cui la 1.4.0.84 per Windows, possono essere scaricate da qui .
Fino ad oggi Skype non è mai stato bersaglio di cyber attacchi noti, tuttavia alcuni esperti ritengono che la sua continua e rapida diffusione potrebbe renderlo un obiettivo sempre più appetibile per cracker e virus writer. La società che lo sviluppa, con sede in Lussemburgo, afferma che gli utenti registrati hanno da poco superato i 61 milioni, mentre il numero di download sfiora i 190 milioni. Va tuttavia sottolineato come il numero di utenti on-line sia generalmente intorno ai 4 milioni.
Ti potrebbe interessare
27 ott 2005