Nos obligan a molestarte con la obviedad de que este sitio usa cookies OK | Más información
receptor viark

Chincheta Autor Tema: Potencial ejecución de código en enlaces de Skype  (Leído 771 veces)

07/06/2008, 17:38

Conectado josagi

 Todas las versiones clientes de Skype anteriores a la 3.8.0.139, son propensas a un error que permite la ejecución remota de código, comprometiendo el sistema del usuario que utilice una versión vulnerable de este software.

Skype, la aplicación VoIP (Voice Over IP) que permite conexiones vía voz, webcam, mensajería instantánea, chat, etc., es utilizada diariamente por millones de usuarios en todo el mundo.

El problema fue descubierto por la compañía de seguridad iDefense, perteneciente a VeriSign.

Cuando en el mensaje de una comunicación se muestra un enlace, el cliente de Skype intenta comprobar el tipo de archivo al que dicho link lleva, con el fin de bloquear la ejecución de contenido potencialmente peligroso.

Para Skype, las siguientes extensiones de archivos son consideradas peligrosas: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl, .crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp y .js.

Pero existen dos problemas en esta comprobación. Primero, Skype diferencia entre mayúsculas y minúsculas, de tal modo que algunas combinaciones, tales como un simple carácter en mayúsculas, podrían engañar al programa. Y segundo, en esta lista faltan varias extensiones de archivos que podrían ejecutarse.

El tema es que esta comprobación puede ser eludida, y un código no deseado puede llegar a ejecutarse en el mismo entorno del usuario que inició la sesión actual en su computadora, comprometiendo todo el sistema.

La versión 3.8.0.139 corrige este fallo, pero de todos modos es bueno recordar que debemos ser siempre cautelosos cuando en cualquier clase de comunicación vía Internet, se nos ofrezca un enlace que no solicitamos. Lo aconsejable es jamás hacer clic sobre el mismo, sin importar quien lo envía.

Como comentario, diremos que este tipo de comprobación, tal como está implementada (por extensión), no parece ser la más adecuada. Existen métodos como el "magic byte" o "magic number", un código constante que identifica a la mayoría de los archivos ejecutables (por ejemplo, los caracteres MZ al comienzo de los archivos .EXE, .DLL, la cadena 0xCAFEBABE para archivos compilados de Java, etc.)


Descarga:

Skype para Windows en español
No tienes permiso para ver los enlaces. Regístrate o Autentícate


Más información:

SKYPE-SB/2008-003: Skype File URI Security Bypass Code Execution Vulnerability
No tienes permiso para ver los enlaces. Regístrate o Autentícate

Skype File URI Security Bypass Code Execution Vulnerability
No tienes permiso para ver los enlaces. Regístrate o Autentícate

CVE-2008-1805 (Common Vulnerabilities and Exposures)
No tienes permiso para ver los enlaces. Regístrate o Autentícate

-VSAntivirus -

 



PadreDeFamilia
!! ADVERTENCIAS !!: Las informaciones aquí publicadas NO CONTIENEN KEYS para la decodificación de ningún sistema: NO SON OPERATIVOS en sistemas SAT que precisen de su correspondiente suscripción. ESTA TOTALMENTE PROHIBIDO EL USO DE ESTAS INFORMACIONES PARA LA MODIFICACIÓN O DEFRAUDACIÓN DE SISTEMAS DE ACCESO CONDICIONAL. ESTOS FOROS SON MODERADOS Y NO SE PERMITE LA PUBLICACIÓN DE INFORMACIONES ILEGALES POR PARTE DE LOS USUARIOS. EN CASO DE DETECTARSE ESTE TIPO DE INFORMACIONES, LOS USUARIOS SERÁN EXCLUIDOS DE ESTAS PÁGINAS.
PROHIBIDA LA PUBLICACIÓN DE ENLACES A FIRMWARES ILEGALES