c.m.g
06-02-2008, 16:33
6 febbraio 2008 alle 14.46
http://www.tweakness.net/imgarchive/skype2s.jpg
Skype ha rilasciato (http://share.skype.com/sites/security/2008/02/skype_crosszone_scripting_vuln.html) un aggiornamento per il suo popolare client VoIP (Skype per Windows 3.6.0.248 (http://www.skype.com/download/skype/windows/)) che include alcuni importanti fix di sicurezza (http://share.skype.com/sites/security/2008/02/skype_crosszone_scripting_vuln.html) a correzione di varie vulnerabilità critiche isolate da più di 2 settimane nel prodotto. Skype era stata costretta a disattivare la funzione di scaricamento dei clip filmati dalle gallerie video Dailymotion e Metacafe in Skype 3.5 e 3.6 per Windows, a causa di una vulnerabilità di Cross-Zone Scripting (http://www.skype.com/intl/en/security/skype-sb-2008-001-update1.html) che poteva permettere ad un attacker di eseguire codice arbitrario sul sistema dell'utente attaccato senza consenso da parte della vittima.
Come riportato in una news precedente (http://www.tweakness.net/topic.php?id=4308) la falla era stata inizialmente isolata sul sito web di Dailymotion, successivamente il ricercatore di sicurezza Aviv Raff aveva dimostrato una simile falla anche per Metacafe (http://aviv.raffon.net/2008/01/22/NoMoreVideosForYouComeBackWhenPatchAvailable.aspx) (sfruttabile iniettando script nei metadati dei video in "Metacafe pro" tramite Skype). Skype aveva quindi deciso di disattivare completamente le funzionalità di aggiunta video.
Una settimana dopo sempre Raff aveva mostrato (http://aviv.raffon.net/2008/01/31/AttackersCanSkypeFindYou.aspx) come utilizzare la medesima falla di Cross-Zone Scripting (che affligge in generale il modo in cui Skype utilizza il controllo web di Internet Explorer per renderizzare contenuti HTML) nella funzionalità SkypeFind (http://www.skype.com/security/skype-sb-2008-002.html) (funzione disponibile dalla versione 3.1 di Skype che permette agli utenti di promuovere e recensire aziende in tutto il mondo). In questo caso l'attacco poteva essere condotto tramite uno script malizioso iniettato nel Nome Utente completo Skype. Quando una vittima visualizzava un'azienda che era stata recensita dall'attacker, lo script nocivo veniva eseguito nella finestra di SkypeFind in una Local Zone non protetta. Sfruttando inoltre l'URI handler skype: (nello specifico skype:?skypefind) era inoltre possibile creare un codice worm in grado di diffondersi sulla rete ed attaccare gli utenti di Skype vulnerabili.
Skype ha ora annunciato la disponibilità (http://share.skype.com/sites/security/2008/02/skype_crosszone_scripting_vuln.html) della nuova versione del client 3.6.0.248 che include un fix per queste problematiche di sicurezza. Gli utenti che aggiorneranno la propria copia di Skype potranno utilizzare nuovamente le funzionalità di aggiunta video da Dailymotion e Metacafe. Gli utenti delle versioni precedenti del client non potranno accedere a questa funzionalità fino a che non eseguiranno l'upgrade. Allo stesso modo la funzione SkypeFind è stata ora corretta nella nuova versione di Skype.
Aviv Raff non ha ancora rilasciato un commento (http://aviv.raffon.net/) ufficiale sulla patch realizzata da Skype. Si attende quindi conferma da parte del ricercatore, che sicuramente si occuperà di verificare l'efficacia delle correzioni implementate da Skype nella nuova versione del client. Ad ogni modo è caldamente consigliato aggiornare il prima possibile la propria installazione Skype all'ultima versione (http://www.skype.com/download/skype/windows) in modo da bloccare i vettori di attacco e le metodologie di exploit finora conosciute.
Link per approfondimenti:
Skype per Windows 3.6.0.248 (http://www.skype.com/download/skype/windows/)
Skype Security Blog (http://share.skype.com/sites/security/2008/02/skype_crosszone_scripting_vuln.html)
Raff Blog (http://aviv.raffon.net/)
Fonti: varie via Tweakness (http://www.tweakness.net/index.php?topic=4338)
http://www.tweakness.net/imgarchive/skype2s.jpg
Skype ha rilasciato (http://share.skype.com/sites/security/2008/02/skype_crosszone_scripting_vuln.html) un aggiornamento per il suo popolare client VoIP (Skype per Windows 3.6.0.248 (http://www.skype.com/download/skype/windows/)) che include alcuni importanti fix di sicurezza (http://share.skype.com/sites/security/2008/02/skype_crosszone_scripting_vuln.html) a correzione di varie vulnerabilità critiche isolate da più di 2 settimane nel prodotto. Skype era stata costretta a disattivare la funzione di scaricamento dei clip filmati dalle gallerie video Dailymotion e Metacafe in Skype 3.5 e 3.6 per Windows, a causa di una vulnerabilità di Cross-Zone Scripting (http://www.skype.com/intl/en/security/skype-sb-2008-001-update1.html) che poteva permettere ad un attacker di eseguire codice arbitrario sul sistema dell'utente attaccato senza consenso da parte della vittima.
Come riportato in una news precedente (http://www.tweakness.net/topic.php?id=4308) la falla era stata inizialmente isolata sul sito web di Dailymotion, successivamente il ricercatore di sicurezza Aviv Raff aveva dimostrato una simile falla anche per Metacafe (http://aviv.raffon.net/2008/01/22/NoMoreVideosForYouComeBackWhenPatchAvailable.aspx) (sfruttabile iniettando script nei metadati dei video in "Metacafe pro" tramite Skype). Skype aveva quindi deciso di disattivare completamente le funzionalità di aggiunta video.
Una settimana dopo sempre Raff aveva mostrato (http://aviv.raffon.net/2008/01/31/AttackersCanSkypeFindYou.aspx) come utilizzare la medesima falla di Cross-Zone Scripting (che affligge in generale il modo in cui Skype utilizza il controllo web di Internet Explorer per renderizzare contenuti HTML) nella funzionalità SkypeFind (http://www.skype.com/security/skype-sb-2008-002.html) (funzione disponibile dalla versione 3.1 di Skype che permette agli utenti di promuovere e recensire aziende in tutto il mondo). In questo caso l'attacco poteva essere condotto tramite uno script malizioso iniettato nel Nome Utente completo Skype. Quando una vittima visualizzava un'azienda che era stata recensita dall'attacker, lo script nocivo veniva eseguito nella finestra di SkypeFind in una Local Zone non protetta. Sfruttando inoltre l'URI handler skype: (nello specifico skype:?skypefind) era inoltre possibile creare un codice worm in grado di diffondersi sulla rete ed attaccare gli utenti di Skype vulnerabili.
Skype ha ora annunciato la disponibilità (http://share.skype.com/sites/security/2008/02/skype_crosszone_scripting_vuln.html) della nuova versione del client 3.6.0.248 che include un fix per queste problematiche di sicurezza. Gli utenti che aggiorneranno la propria copia di Skype potranno utilizzare nuovamente le funzionalità di aggiunta video da Dailymotion e Metacafe. Gli utenti delle versioni precedenti del client non potranno accedere a questa funzionalità fino a che non eseguiranno l'upgrade. Allo stesso modo la funzione SkypeFind è stata ora corretta nella nuova versione di Skype.
Aviv Raff non ha ancora rilasciato un commento (http://aviv.raffon.net/) ufficiale sulla patch realizzata da Skype. Si attende quindi conferma da parte del ricercatore, che sicuramente si occuperà di verificare l'efficacia delle correzioni implementate da Skype nella nuova versione del client. Ad ogni modo è caldamente consigliato aggiornare il prima possibile la propria installazione Skype all'ultima versione (http://www.skype.com/download/skype/windows) in modo da bloccare i vettori di attacco e le metodologie di exploit finora conosciute.
Link per approfondimenti:
Skype per Windows 3.6.0.248 (http://www.skype.com/download/skype/windows/)
Skype Security Blog (http://share.skype.com/sites/security/2008/02/skype_crosszone_scripting_vuln.html)
Raff Blog (http://aviv.raffon.net/)
Fonti: varie via Tweakness (http://www.tweakness.net/index.php?topic=4338)