Archivio » 2008 » gennaio » martedì 22 »

Per Skype una pezza a tempo di record

Scritto da Guido Sintoni

A stretto giro di posta dalla scoperta del bug che prestava il fianco all’esecuzione arbitraria di codice, Skype corre ai ripari rimediando all’errore pur se in maniera temporanea. La vulnerabilità, scoperta e documentata dai ricercatori Aviv Raff e Petko Petkov, è dovuta a controlli troppo laschi su un componente che si occupa di visualizzare codice Html; sfruttandola convenientemente, è possibile lanciare file presenti sul Pc o scaricarne (ed eseguirne) da remoto, fino alla piena compromissione del sistema vulnerabile.

Se sulle prime Skype aveva scelto la via del silenzio, in breve tempo ha cambiato posizione lasciando a Villu Arak (il proprio riferimento in tema di sicurezza) il compito di commentare l’accaduto e suggerire un rimedio, pur se temporaneo. In un post sul blog di Skype, Arak ha confermato la vulnerabilità, ricostruendo lo scenario d’attacco: “Il problema riguarda l’uso di Skype su Dailymotion, il sito per la condivisione di video da cui gli utenti Skype possono scaricare clip aggiungendoli alle proprie sessioni di chat. La vulnerabilità riguarda gli utenti delle versioni 3.5 e 3.6 per Windows che, nella video gallery di Skype, navighino verso un video Dailymotion appositamente creato”.

Di qui la soluzione, risolutiva ma drastica, visto che elimina provvisoriamente la funzione vulnerabile. “Skype ha temporaneamente sospeso la possibilità di aggiungere video dalla galleria di Dailymotion in attesa del rilascio di una fix ufficiale. Nel frattempo, Dailymotion sta esaminando la vulnerabilità sul proprio sito”. Non resta quindi che aspettare una nuova versione che permetta di accedere in maniera sicura ai video: sarà segnalata dall’agente di aggiornamento automatico previsto dalle ultime versioni del client VoIP.