L’ultimo aggiornamento a Skype , rilasciato negli scorsi giorni, ha sistemato una seria vulnerabilità che espone gli utenti del celebre programma di telefonia IP ad attacchi portati via Web.
La falla è legata agli ormai famigerati URI (Universal Resource Identifier) di Windows, ed in particolare all’URI handler skype4com , utilizzato da Skype per gestire gli indirizzi web. Un malintenzionato può creare un link ad hoc che, se cliccato da un utente di Skype, causa la corruzione della memoria e l’eventuale esecuzione di codice maligno.
La vulnerabilità, corretta con il rilascio di Skype 3.6.0.216 per Windows , è stata classificata “critica” sia da Secunia che da FrSIRT .
Tra gli esperti di sicurezza c’è chi non ha gradito il modo in cui Skype ha gestito il problema. “Ancora una volta Skype ha eliminato una falla critica in modo furtivo, senza preoccuparsi di informare gli utenti”, ha commentato Heise Security .
In passato, Skype è stata criticata dagli utenti per risposte giunte con scarso tempismo, o non giunte affatto, sulle segnalazioni dei bug, tra cui quello dei page fault descritto in questo post .
Sebbene Skype aggiorni il proprio software con una certa frequenza, c’è chi ritiene che l’azienda non tuteli abbastanza la sicurezza dei propri utenti. Ad esempio, alcuni fanno notare come Skype consenta di loggarsi da più postazioni contemporaneamente utilizzando lo stesso account , e questo senza segnalare all’utente che un altro client sta accedendo alla rete con i suoi dati: tale funzione, benché piuttosto comoda, potrebbe agevolare un ladro di account.