Skype parchea un agujero de seguridad de riesgo medio
Skype está aconsejando a los usuarios actualizarse a una versión más reciente de su software de voz sobre IP (VoIP) para cubrir un agujero de seguridad de cuya existencia informó a finales de la semana pasada una firma neocelandesa.
El problema, catalogado de “nivel de riesgo medio” por Skype, afecta a varias versiones del cliente Skype para Windows y permite al atacante descargar un fichero desde el PC afectado sin el permiso del usuario.
El agujero se origina por la forma en que el cliente Skype maneja un tipo de URI (Uniform Research Indicator), que proporciona una forma estándar de acceder a recursos de Internet. Durante una instalación cliente típica, Skype instala diversas herramientas de tratamiento URI.
Para caer en la trampa, el usuario debe ser primero convencido de visitar una página Web especialmente creada por el atacante, según ha informado Brett Moore, investigador especializado en seguridad de Security-Assessment.com, la firma que descubrió la vulnerabilidad. Además, el hacker necesita conocer la localización del fichero que desea transferir, así como haber añadido la víctima en su lista de contactos.
Todas las versiones de Skype para Windows hasta la 2.0.x.104 (incluida) son vulnerables a este ataque. También las versiones desde 2.5.x.0 hasta 2.5.x.78, ambas incluidas. Skype ha aconsejado a los usuarios actualizar a Skype 2.5, versión 2.5.x.79 o posteriores; o Skype 2.0, versiones 2.0.x.105 o posteriores.
El boletín informativo sobre este problema ha sido el primer boletín de seguridad emitido por Skype en siete meses. El año pasado publicó tres, dos de ellos relacionados con vulnerabilidades clasificadas de “alto riesgo” y el otro con un problema considerado de “bajo riesgo”.
www.skype.com
El agujero se origina por la forma en que el cliente Skype maneja un tipo de URI (Uniform Research Indicator), que proporciona una forma estándar de acceder a recursos de Internet. Durante una instalación cliente típica, Skype instala diversas herramientas de tratamiento URI.
Para caer en la trampa, el usuario debe ser primero convencido de visitar una página Web especialmente creada por el atacante, según ha informado Brett Moore, investigador especializado en seguridad de Security-Assessment.com, la firma que descubrió la vulnerabilidad. Además, el hacker necesita conocer la localización del fichero que desea transferir, así como haber añadido la víctima en su lista de contactos.
Todas las versiones de Skype para Windows hasta la 2.0.x.104 (incluida) son vulnerables a este ataque. También las versiones desde 2.5.x.0 hasta 2.5.x.78, ambas incluidas. Skype ha aconsejado a los usuarios actualizar a Skype 2.5, versión 2.5.x.79 o posteriores; o Skype 2.0, versiones 2.0.x.105 o posteriores.
El boletín informativo sobre este problema ha sido el primer boletín de seguridad emitido por Skype en siete meses. El año pasado publicó tres, dos de ellos relacionados con vulnerabilidades clasificadas de “alto riesgo” y el otro con un problema considerado de “bajo riesgo”.
www.skype.com
