Ejecución remota de código en Skype
Se ha encontrado una vulnerabilidad en la versión para Windows de Skype que podría ser aprovechada por un atacante remoto para saltarse restricciones de seguridad.
Skype es un el cliente de VoIP (voz sobre IP) con millones de usuarios por todo el mundo y que está disponible para distintas plataformas Windows, Linux y Mac OS X.
El problema está causado por un error al manejar URIs del tipo “file:”, que podría ser explotado para saltarse las advertencias de seguridad al ejecutar archivos con extensiones peligrosas. La versión de Skype para Windows hace uso de un filtro para prevenir la posible ejecución de archivos, almacenados localmente, por medio de URIs del tipo “file:” (como por ejemplo “file://C:/archivomalicioso.exe”).
El problema está en que dicho filtro solo advierte si detecta un intento de acceso a archivos con las siguientes extensiones: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl,.crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp y .js. Por lo tanto permitiría la ejecución de forma directa de otros archivos con extensiones potencialmente peligrosas, como pueden ser: .pif, .vbs o .scr entre otras.
Pero la deficiencia más grave del filtro reside en que solo mostraría el cuadro de advertencia si la extensión del archivo supuestamente peligroso al que se intenta acceder está en minúscula. Si la extensión incluyera alguna letra mayúscula (como por ejemplo “file://C:/archivomalicioso.Exe”) entonces la petición se saltaría el filtro y el archivo sería ejecutado sin que recibiéramos ningún tipo de advertencia al respecto. Si la vulnerabilidad fuera explotada con éxito, un atacante podría ejecutar cualquier archivo residente en el sistema víctima, pudiendo comprometer por completo dicho sistema.
La vulnerabilidad fue descubiertas por Ismael Briones (Inkatel) y notificada a Skype Technologies por medio de iDefense el día 5 de mayo. El pasado 4 de junio iDefense y Skype hicieron públicos de forma conjunta los detalles de la vulnerabilidad, una vez que ya existe una versión disponible que corrige el fallo.
El problema afecta a todas las versiones de Skype para Windows anteriores a la 3.8.0.139. Se recomienda actualizar a la nueva versión no vulnerable (v.3.8.0.139), disponible para su descarga desde este enlace.