Información técnica 1:
El servicio de telefonía de Skype permite a los usuarios realizar
llamadas internacionales de ordenador a ordenador, o entre ordenadores
y teléfonos, utilizando el servicio de voz sobre el protocolo de
Internet (Voice over Internet Protocol, VoIP) .
Existe información sobre algunas vulnerabilidades en la programación
de ciertas aplicaciones de Skype, las cuales pueden ser maliciosamente
aprovechadas para causar una denegación de servicio (DoS) o para
afectar el sistema del usuario.
Los riesgos se explican detalladamente a continuación:
Vulnerabilidad 1
Existe un error de límites en
la administración de algunos prefijos URL específicos de Skype,
como "callto://" y "skype://", por ejemplo.
Tal error puede ser aprovechado para generar un desbordamiento
de memoria intermedia (buffer overflow).
Si el usuario se dirigiese a ciertas direcciones URL específicas
de Skype, maliciosamente diseñadas, el citado desbordamiento permitiría,
a su vez, la ejecución de código arbitrario.
Vulnerabilidad 2
Existe un error de límites
en la administración de importaciones de tarjetas vCard.
Este error puede ser explotado para generar un desbordamiento
de memoria intermedia y, si el usuario importara ciertas
tarjetas vCard especialmente diseñadas, permitiría a su vez
la ejecución
de código arbitrario.
Versiones de Skype para Windows afectadas
por dichas vulnerabilidades: 1.1.*.0 a 1.4.*.83
Información de referencia del proveedor:
Los datos del proveedor, relacionados con estas vulnerabilidades,
se encuentran disponibles en:
http://www.skype.com/security/skype-sb-2005-02.html
Información técnica 2:
Vulnerabilidad 3
Existe un error de límites en
la gestión de cierto tráfico no especificado en la red de
clientes de Skype.
Este error pudiera ser maliciosamente aprovechado para generar
un desbordamiento de la memoria intermedia disponible para
uso inmediato (Heap-based buffer
overflow), que causaría una interrupción de servicio
al usuario de Skype.
Potencialmente, esta vulnerabilidad puede llevar a la ejecución de
código arbitrario en el sistema afectado, aunque esta posibilidad
no quedó confirmada en las pruebas con ataques simulados.
Información de referencia del proveedor:
Los datos del proveedor, correspondientes esta vulnerabilidad se encuentran
disponibles en:
http://www.skype.com/security/skype-sb-2005-03.html
Recomendaciones generales de mitigación:
Instale las más recientes versiones del programa, corregidas por
el proveedor y disponibles en:
http://www.skype.com/download
Para
usuarios de Pocket PC 2003: a la fecha
de publicación de este informe, no existe una actualización
del programa Skype para Pocket PC 2003.
Por lo tanto, esta versión todavía es vulnerable al
problema de desbordamiento de la memoria en uso.
Agnitum recomienda evitar
la utilización del programa hasta que el proveedor solucione el
problema.
Los datos del presente informe se entienden como correctos
a la fecha de publicación, basándose en la información
disponible actualmente.
El hecho de utilizar esta referencia implica la aceptación para su
uso tal como la misma es presentada, no existiendo garantías con respecto
a las consecuencias de su utilización.
Agnitum Ltd. y/o sus distribuidores autorizados, no asumen ninguna
responsabilidad por cualquier pérdida o daño directo, indirecto
o resultante, que proceda del uso de este material o de la confianza depositada
en él.
