Potencial ejecución de código en enlaces de Skype

Todas las versiones clientes de Skype anteriores a la 3.8.0.139, son propensas a un error que permite la ejecución remota de código, comprometiendo el sistema del usuario que utilice una versión vulnerable de este software.

Skype, la aplicación VoIP (Voice Over IP) que permite conexiones vía voz, webcam, mensajería instantánea, chat, etc., es utilizada diariamente por millones de usuarios en todo el mundo.

El problema fue descubierto por la compañía de seguridad iDefense, perteneciente a VeriSign.

Cuando en el mensaje de una comunicación se muestra un enlace, el cliente de Skype intenta comprobar el tipo de archivo al que dicho link lleva, con el fin de bloquear la ejecución de contenido potencialmente peligroso.

Para Skype, las siguientes extensiones de archivos son consideradas peligrosas: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl, .crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp y .js.

Pero existen dos problemas en esta comprobación. Primero, Skype diferencia entre mayúsculas y minúsculas, de tal modo que algunas combinaciones, tales como un simple carácter en mayúsculas, podrían engañar al programa. Y segundo, en esta lista faltan varias extensiones de archivos que podrían ejecutarse.

El tema es que esta comprobación puede ser eludida, y un código no deseado puede llegar a ejecutarse en el mismo entorno del usuario que inició la sesión actual en su computadora, comprometiendo todo el sistema.

La versión 3.8.0.139 corrige este fallo, pero de todos modos es bueno recordar que debemos ser siempre cautelosos cuando en cualquier clase de comunicación vía Internet, se nos ofrezca un enlace que no solicitamos. Lo aconsejable es jamás hacer clic sobre el mismo, sin importar quien lo envía.

Como comentario, diremos que este tipo de comprobación, tal como está implementada (por extensión), no parece ser la más adecuada. Existen métodos como el “magic byte” o “magic number”, un código constante que identifica a la mayoría de los archivos ejecutables (por ejemplo, los caracteres MZ al comienzo de los archivos .EXE, .DLL, la cadena 0xCAFEBABE para archivos compilados de Java, etc.)

Descarga:

Skype para Windows en español
http://www.skype.com/intl/es/download/skype/windows/

Más información:

SKYPE-SB/2008-003: Skype File URI Security Bypass Code Execution Vulnerability
http://www.skype.com/security/skype-sb-2008-003.html

Skype File URI Security Bypass Code Execution Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=711

CVE-2008-1805 (Common Vulnerabilities and Exposures)
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1805

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: