« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Múltiples vulnerabilidades críticas en Skype  (Leído 2390 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Múltiples vulnerabilidades críticas en Skype
« en: 26 de Octubre de 2005, 07:12:27 pm »
Múltiples vulnerabilidades críticas en Skype

Varias vulnerabilidades han sido identificadas en el software de Skype, la red de telefonía entre pares por Internet, fundada por los creadores de Kazaa, muy utilizada por ser gratuita. Desde setiembre de 2005 esta red pertenece a eBay.

Las vulnerabilidades detectadas, pueden ser explotadas por usuarios maliciosos para provocar una denegación de servicio (DoS), o comprometer el sistema del usuario que use la aplicación mediante la ejecución de código.

La primera vulnerabilidad la provoca un error de límites cuando se manejan tipos específicos de URIs ("callto://" y "skype://"). Esto puede ser explotado para provocar un desbordamiento de búfer con la posibilidad de ejecución arbitraria de código cuando el usuario hace clic sobre un enlace de ese tipo, maliciosamente modificado.

Una segunda vulnerabilidad, también ocasionada por errores de límites, está relacionada con la importación de vCards (tarjetas de presentación virtual), modificadas maliciosamente. El error puede provocar la ejecución de código.

Ambas vulnerabilidades comprometen las versiones para Windows.

Una tercera vulnerabilidad es provocada por el manejo incorrecto del tráfico de red en un cliente Skype, que puede provocar un desbordamiento de la memoria heap (zona de memoria utilizada por los programas durante su ejecución). La explotación de este problema, puede causar una denegación de servicio (que la aplicación deje de responder).

Este último fallo afecta todas las versiones de Skype (Windows, Mac OS X, Linux y Pocket PC).

Software vulnerable:
- Skype para Linux 0.x
- Skype para Linux 1.x
- Skype para Mac OS X 0.x
- Skype para Mac OS X 1.x
- Skype para Pocket PC 1.x
- Skype para Windows 1.x

Solución:
Actualizarse a la última versión del programa (1.4.0.84 o superior) que resuelve estas vulnerabilidades.

Descargas de versiones de Skype en español:
http://www.skype.com/intl/es/download/

NOTA: No existe actualización al momento de la publicación de esta alerta para Windows Pocket PC.


Relacionados:
SKYPE-SB/2005-002: Buffer overflow in Skype-specific
URI and VCARD import handling
http://www.skype.com/security/skype-sb-2005-02.html
SKYPE-SB/2005-003: Heap overflow in networking routine
http://www.skype.com/security/skype-sb-2005-03.html
Buffer overflow in Skype-specific URI and VCARD import handling
http://www.pentest.co.uk/documents/ptl-2005-01.html
Skype Multiple Buffer Overflow Vulnerabilities
http://secunia.com/advisories/17305/
Skype "callto:" URI Handler Buffer Overflow Vulnerability
http://secunia.com/advisories/13191/

Créditos:
Mark Rowe y Joe Moore, Pentest Limited.
Imad Lahoud, EADS Corporate Research Center.

Publicado en: http://www.vsantivirus.com/vul-skype-251005.htm
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.