Roma – La scorsa settimana Skype ha sistemato un baco del suo celebre software di VoIP da cui un malintenzionato potrebbe sottrarre file contenenti informazioni sensibili.
In questo advisory si spiega che la vulnerabilità, presente solo nella versione Windows di Skype, è causata da un errore nel parsing degli URL di tipo callto:// . Il bug potrebbe essere sfruttato da un aggressore per avviare il trasferimento di un singolo file da un utente Skype ad un altro senza l’esplicito consenso del trasmittente.
Perché l’attacco abbia successo, un malintenzionato deve indurre un utente a cliccare su di un link malformato e il destinatario deve già trovarsi nella lista degli utenti autorizzati del mittente. Quest’ultimo fattore mitiga notevolmente la pericolosità della falla, ed infatti Secunia classifica il problema di rischio moderato.
La debolezza è stata corretta a partire dalle versioni 2.0.*.105 e 2.5.*.78 di Skype per Windows, scaicabili qui .
Ti potrebbe interessare
22 mag 2006