R1CHARD >>> Hacking my minD

Se ha encontrado una vulnerabilidad en Skype que podría ser explotada por un atacante remoto para ejecutar código arbitrario.

El problema está causado por un error en el manejador de URIs skype4com al procesar valores cortos de cadenas. Skype4com se crea durante el proceso de instalación de Skype. La vulnerabilidad podría ser explotada por un atacante remoto para corromper la memoria heap, lo que podría ser aprovechado por dicho atacante para llevar a cabo ejecución de código arbitrario en el sistema con los permisos del usuario ejecutando Skype.

Para que la vulnerabilidad sea explotable, es necesario que el usuario visite una página web maliciosa. La vulnerabilidad fue notificada por un investigador anónimo a Skype Technologies el pasado día 2 de Noviembre y está confirmada para todas las versiones anteriores a la 3.6 Gold, que vio la luz el pasado día 15.

Una vez más Skype ha cerrado la vulnerabilidad sin informar a sus usuarios. Los usuarios de Skype pudieron enterarse del problema el día de ayer en Zero Day Initiative, una web especializada en publicar las vulnerabilidades descubiertas de forma responsable, una vez que ya han sido parcheadas.

Se recomienda actualizar a Skype 3.6 Gold o superior. En la actualidad, la última versión disponible desde la página web del fabricante es la 3.6.0.216, que se puede descargar desde www.skype.com/go/downloading. Se recomienda no visitar ningún enlace ni página web de dudosa procedencia.

Salu2

≡ Entradas Recientes

• Guitarras
• Mi niña hermosa
• Esta noche
• No se resientan chicas, pero me causó gracia, jeje
• Bye bye Google Wave
• Alfresco y Ubuntu de la mano
• Primera versión final de JoliCloud
• Adaptación a Lima: sin palabras
• Mucho tiempo OffLine
• Linux en un chip

Esta entrada fue escrita el Monday, 10 de December de 2007 a las 11:22 pm y clasificada en la categoría Uncategorized. Puedes seguir las respuesta en RSS 2.0 feed. Puedes dejar una respuesta , o trackback .