Todas las versiones clientes de Skype anteriores a la 3.8.0.139, son propensas a un error que permite la ejecución remota de código, comprometiendo el sistema del usuario que utilice una versión vulnerable de este software.
kype, la aplicación VoIP (Voice Over
IP) que permite conexiones vía voz, webcam, mensajería instantánea,
chat, etc., es utilizada diariamente por millones de usuarios en
todo el mundo.
El problema fue descubierto por la compañía de seguridad iDefense,
perteneciente a VeriSign.
Cuando en el mensaje de una comunicación se muestra un enlace, el
cliente de Skype intenta comprobar el tipo de archivo al que dicho
link lleva, con el fin de bloquear la ejecución de contenido
potencialmente peligroso.
Para Skype, las siguientes extensiones de archivos son consideradas
peligrosas: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com,
.cpl, .crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp y
.js.
Pero existen dos problemas en esta comprobación. Primero, Skype
diferencia entre mayúsculas y minúsculas, de tal modo que algunas
combinaciones, tales como un simple carácter en mayúsculas, podrían
engañar al programa. Y segundo, en esta lista faltan varias
extensiones de archivos que podrían ejecutarse.
El tema es que esta comprobación puede ser eludida, y un código no
deseado puede llegar a ejecutarse en el mismo entorno del usuario
que inició la sesión actual en su computadora, comprometiendo todo
el sistema.
La versión 3.8.0.139 corrige este fallo, pero de todos modos es
bueno recordar que debemos ser siempre cautelosos cuando en
cualquier clase de comunicación vía Internet, se nos ofrezca un
enlace que no solicitamos. Lo aconsejable es jamás hacer clic sobre
el mismo, sin importar quien lo envía.
Como comentario, diremos que este tipo de comprobación, tal como
está implementada (por extensión), no parece ser la más adecuada.
Existen métodos como el "magic byte" o "magic
number", un código constante que identifica a la mayoría de
los archivos ejecutables (por ejemplo, los caracteres MZ al
comienzo de los archivos .EXE, .DLL, la cadena 0xCAFEBABE para
archivos compilados de Java, etc.)
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

¿magic number? Pero qué se han creído, que windows es tan avanzado como para funcionar con algo tan pero tan complejo que se usa en otros sistemas desde hace 35 años?
¡No señores! windows utiliza el nombre. Usar el magic number es algo demasiado elaborado para una empresa que sólo busca beneficio económico y no necesita preocuparse de la competencia porque los usuarios son demasiado analfabetos como para entender que existen alternativas!