Il modo in cui il popolare client di comunicazione Skype interagisce con il motore di rendering di Internet Explorer potrebbe mettere a serio rischio la sicurezza degli utenti. A lanciare l’allarme è stato l’esperto Aviv Raff, che in questo advisory spiega e dimostra come sia possibile sfruttare la vulnerabilità, di tipo cross-zone scripting, per eseguire del codice a distanza nel contesto di sicurezza Intranet locale di IE.
Per approfittare del bug, i cracker o gli autori di malware devono trovare un sito “trusted” che contenga un errore cross-zone scripting: questo genere di vulnerabilità è tuttavia molto comune. Infatti ne è stata trovata una nel motore di ricerca dei video Dailymotion.com utilizzato da Skype: un malintenzionato avrebbe potuto postare un video maligno che, quando inserito in una chat di Skype, causava l’esecuzione di codice. Si parla al passato perché Skype ha già fatto sapere di aver temporaneamente sospeso la possibilità di inserire, all’interno di una chat, video provenienti da Dailymotion.com : il servizio verrà probabilmente ripristinato non appena la falla sarà corretta.
Nel frattempo, il noto bug hunter Petko Petkov invita gli utenti alla prudenza, spiegando in questo advisory che le minacce potrebbero venire anche da altre fonti, o utilizzare nuovi e imprevedibili vettori di attacco. L’hacker polacco ricorda che le vulnerabilità cross-zone scripting possono consentire ad un aggressore di accedere ad un sistema remoto e compiere azioni come leggere/scrivere file e lanciare comandi e programmi attraverso Windows Scripting Host.
“Raccomando di non usare Skype sugli hotspot pubblici”, ha avvisato Petkov. “Non usate neppure la funzionalità Aggiungi il video alla chat fino a che non sarà rilasciata una patch. Tenete presente che Skype non è il solo programma affetto da questo tipo di problemi”.
L’advisory ufficiale di Skype relativo a questa vulnerabilità è stato pubblicato qui .