Rio, 18 de novembro de 2004
Fonte: http://www.rnp.br/cais/alertas/2004/cais-alr-20041116.html
O CAIS obteve informacoes a respeito de uma vulnerabilidade de buffer
overflow presente no software Skype, amplamente utilizado para comunicacao
atraves de VoIP na internet.
A vulnerabilidade consiste na maneira como o Skype trata argumentos
passados a ele atraves da linha de comando. Se um atacante criar uma URL
montada de forma especifica, e conseguir convencer um usuario a acessa-la
atraves de um e-mail ou de um site web, e' possivel executar o Skype com
os parametros passados na linha de comando de forma a explorar essa
vulnerabilidade, causando o travamento do programa ou mesmo a execucao de
codigo malicioso com as permissoes do usuario executando o Skype.
A vulnerabilidade esta' sendo considerada como altamente critica e
exemplos de codigo para explora-la estao comecando a surgir na internet.
Softwares afetados:
. Skype versoes entre 1.0.*.95 e 1.0.*.98
Correcoes disponiveis:
Recomenda-se fazer a atualizacao do software para sua versao mais recente:
. Skype versao 1.0.0.100
http://www.skype.com/products/
Mais informacoes:
. Skype "callto:" URI Handler Buffer Overflow Vulnerability
http://secunia.com/advisories/13191/
. Skype Change Log
http://www.skype.com/products/skype/windows/changelog.html
. Skype callto:// URL buffer overflow
http://xforce.iss.net/xforce/xfdb/16405
Resumindo: quem utiliza as
versões mais antigas do Skype pode estar sujeito a um ataque
manipulado por um cracker possibilitando controle da máquina
atingida. Um ataque deste tipo pode ser ocasionado através de
uma página da internet ou e-mail. A versão mais nova do
software não sofre desta falha. É altamente
recomendável aos usuários do Skype a
atualização urgente deste software.
Para fazer o download da versão mais nova, 1.0.0.100 ,
clique no link abaixo:
http://www.skype.com/go/getskype
Thadeu Camargo
|