- Otras noticias
Alertan sobre robos de datos informáticos mediante troyanos
Nuevo PHP 5.2.12 soluciona varios fallos de seguridad
Los peligros del robo de identidad en el hogar
Desvelados serios problemas en el algoritmo que genera los números pseudoaleatorios en Windows 2000 y XP
Norton 360 5.0 
Cuidado con los enlaces que supuestamente conducen a vídeos sobre la ejecución de Bin Laden.jpg)
Denegación de Servicio en diversos productos Cisco
Vulnerabilidad de acceso a información sensible en Skype
W32/Bropia.K. se propaga por MSN Messenger
Múltiples vulnerabilidades en RealOne Player y RealPlayer
- En el foro
-
VULNERABILIDADES
Graves vulnerabilidades en Skype
27 Oct 2005 | HISPASEC.COM.jpg)
Skype es una red de telefonía entre pares por Internet, cuyo protocolo es cerrado y la descarga de los clientes que permiten la interconexión es gratuita. Es muy popular, con un total de más de 60 millones de usuarios y 187 millones de descargas. Skype es creación de Niklas Zennström y Janus Friis, los fundadores de Kazaa.
Los errores encontrados son los siguientes:
1) Un error en la gestión de la importación podría ser aprovechado para diseñar una vCard especialmente conformada para causar un desbordamiento de búfer y la ejecución de código arbitrario, caso de que el usuario importase una vCard maliciosa.
2) Un error en la gestión de las URIs específicas de Skype podría
facilitar la conducción de un desbordamiento de búfer, así como la ejecución de código arbitrario, caso de que el usuario pulsase sobre enlaces del tipo "callto://" y "skype://" especialmente preparados. Es un tipo de error cuya primera manifestación tuvo lugar en noviembre de 2004, según se puede verificar en la referencia CVE-2004-1114, y que ahora resurge en una modalidad similar.
3) Por último, el cliente Skype podría colapsar por desbordamiento de búfer de tipo "heap", en los que se adultera el tamaño máximo de las variables, al ser incorrecta la gestión del tráfico de la red de clientes de Skype.
El fallo es multiplataforma, resultando afectas las versiones Windows 1.4.*.83 y anteriores, Mac OS X 1.3.*.16 y anteriores, Linux 1.2.*.17 y anteriores, y la versión Pocket PC 1.1.*.6 y anteriores. La posibilidad de explotación remota, así como los resultados de la misma, le otorgan a los problemas una criticidad bastante elevada.
La solución a los problemas pasa por la actualización, la cual está
disponible en el servidor de descargas de Skype. Se han publicado
actualizaciones para todas las plataformas, a excepción de Pocket PC, cuyo parche es inminente. La recomendación, por tanto, es actualizar a las versiones especificadas por el fabricante: 1.4.*.84 o posterior para Windows, 1.3.*.17 o posterior para Mac OS X y 1.2.*.18 o posterior para Linux. Los usuarios de Pocket PC deben estar atentos a los anuncios del fabricante.
Más información:
Skype
http://www.skype.com
Descargas de Skype:
http://www.skype.com/download/
SKYPE-SB/2005-002: Buffer overflow in Skype-specific URI and VCARD importhandling
http://www.skype.com/security/skype-sb-2005-02.html
SKYPE-SB/2005-003: Heap overflow in networking routine
http://www.skype.com/security/skype-sb-2005-03.html - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
