Potencial ejecución de código en enlaces de Skype

kype, la aplicación VoIP (Voice Over IP) que permite conexiones vía voz, webcam, mensajería instantánea, chat, etc., es utilizada diariamente por millones de usuarios en todo el mundo.

El problema fue descubierto por la compañía de seguridad iDefense, perteneciente a VeriSign.

Cuando en el mensaje de una comunicación se muestra un enlace, el cliente de Skype intenta comprobar el tipo de archivo al que dicho link lleva, con el fin de bloquear la ejecución de contenido potencialmente peligroso.

Para Skype, las siguientes extensiones de archivos son consideradas peligrosas: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl, .crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp y .js.

Pero existen dos problemas en esta comprobación. Primero, Skype diferencia entre mayúsculas y minúsculas, de tal modo que algunas combinaciones, tales como un simple carácter en mayúsculas, podrían engañar al programa. Y segundo, en esta lista faltan varias extensiones de archivos que podrían ejecutarse.

El tema es que esta comprobación puede ser eludida, y un código no deseado puede llegar a ejecutarse en el mismo entorno del usuario que inició la sesión actual en su computadora, comprometiendo todo el sistema.

La versión 3.8.0.139 corrige este fallo, pero de todos modos es bueno recordar que debemos ser siempre cautelosos cuando en cualquier clase de comunicación vía Internet, se nos ofrezca un enlace que no solicitamos. Lo aconsejable es jamás hacer clic sobre el mismo, sin importar quien lo envía.

Como comentario, diremos que este tipo de comprobación, tal como está implementada (por extensión), no parece ser la más adecuada. Existen métodos como el "magic byte" o "magic number", un código constante que identifica a la mayoría de los archivos ejecutables (por ejemplo, los caracteres MZ al comienzo de los archivos .EXE, .DLL, la cadena 0xCAFEBABE para archivos compilados de Java, etc.)