Skype es un el cliente de VoIP (voz sobre IP) con millones de usuarios por todo el mundo y que está disponible para distintas plataformas Windows, Linux y Mac OS X.
El problema está causado por un error al manejar URIs del tipo “file:”, que podría ser explotado para saltarse las advertencias de seguridad al ejecutar archivos con extensiones peligrosas. La versión de Skype para Windows hace uso de un filtro para prevenir la posible ejecución de archivos, almacenados localmente, por medio de URIs del tipo “file:” (como por ejemplo “file://C:/archivomalicioso.exe”).
El problema está en que dicho filtro solo advierte si detecta un intento de acceso a archivos con las siguientes extensiones: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl,.crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp y .js. Por lo tanto permitiría la ejecución de forma directa de otros archivos con extensiones potencialmente peligrosas, como pueden ser: .pif, .vbs o .scr entre otras.
Pero la deficiencia más grave del filtro reside en que solo mostraría el cuadro de advertencia si la extensión del archivo supuestamente peligroso al que se intenta acceder está en minúscula. Si la extensión incluyera alguna letra mayúscula (como por ejemplo “file://C:/archivomalicioso.Exe”) entonces la petición se saltaría el filtro y el archivo sería ejecutado sin que recibiéramos ningún tipo de advertencia al respecto. Si la vulnerabilidad fuera explotada con éxito, un atacante podría ejecutar cualquier archivo residente en el sistema víctima, pudiendo comprometer por completo dicho sistema.
La vulnerabilidad fue descubiertas por Ismael Briones (Inkatel) y notificada a Skype Technologies por medio de iDefense el día 5 de mayo. El pasado 4 de junio iDefense y Skype hicieron públicos de forma conjunta los detalles de la vulnerabilidad, una vez que ya existe una versión disponible que corrige el fallo.
El problema afecta a todas las versiones de Skype para Windows anteriores a la 3.8.0.139. Se recomienda actualizar a la nueva versión no vulnerable (v.3.8.0.139), disponible para su descarga desde este enlace.
A este plan para 2025 se une el de reforzar las habilidades en inteligencia artificial…
La compañía ha cerrado su mejor año y el mejor cuarto trimestre de su historia.
Apple sigue siendo la empresa más valiosa del mundo, aunque seguida muy de cerca por…
Softtek sostiene que "el uso de tecnologías avanzadas es indispensable para triunfar durante una de…
Computación en la nube, edge computing, inteligencia artificial y conectividad 5G definirán la productividad de…
Las empresas de transporte y logística generarán el 67 % de los contratos previstos en…