[NEWS] Skype: Fix per Falla Cross-Zone Scripting

c.m.g · 06-02-2008, 16:33

6 febbraio 2008 alle 14.46

Skype ha rilasciato un aggiornamento per il suo popolare client VoIP (Skype per Windows 3.6.0.248) che include alcuni importanti fix di sicurezza a correzione di varie vulnerabilità critiche isolate da più di 2 settimane nel prodotto. Skype era stata costretta a disattivare la funzione di scaricamento dei clip filmati dalle gallerie video Dailymotion e Metacafe in Skype 3.5 e 3.6 per Windows, a causa di una vulnerabilità di Cross-Zone Scripting che poteva permettere ad un attacker di eseguire codice arbitrario sul sistema dell'utente attaccato senza consenso da parte della vittima.

Come riportato in una news precedente la falla era stata inizialmente isolata sul sito web di Dailymotion, successivamente il ricercatore di sicurezza Aviv Raff aveva dimostrato una simile falla anche per Metacafe (sfruttabile iniettando script nei metadati dei video in "Metacafe pro" tramite Skype). Skype aveva quindi deciso di disattivare completamente le funzionalità di aggiunta video.

Una settimana dopo sempre Raff aveva mostrato come utilizzare la medesima falla di Cross-Zone Scripting (che affligge in generale il modo in cui Skype utilizza il controllo web di Internet Explorer per renderizzare contenuti HTML) nella funzionalità SkypeFind (funzione disponibile dalla versione 3.1 di Skype che permette agli utenti di promuovere e recensire aziende in tutto il mondo). In questo caso l'attacco poteva essere condotto tramite uno script malizioso iniettato nel Nome Utente completo Skype. Quando una vittima visualizzava un'azienda che era stata recensita dall'attacker, lo script nocivo veniva eseguito nella finestra di SkypeFind in una Local Zone non protetta. Sfruttando inoltre l'URI handler skype: (nello specifico skype:?skypefind) era inoltre possibile creare un codice worm in grado di diffondersi sulla rete ed attaccare gli utenti di Skype vulnerabili.

Skype ha ora annunciato la disponibilità della nuova versione del client 3.6.0.248 che include un fix per queste problematiche di sicurezza. Gli utenti che aggiorneranno la propria copia di Skype potranno utilizzare nuovamente le funzionalità di aggiunta video da Dailymotion e Metacafe. Gli utenti delle versioni precedenti del client non potranno accedere a questa funzionalità fino a che non eseguiranno l'upgrade. Allo stesso modo la funzione SkypeFind è stata ora corretta nella nuova versione di Skype.

Aviv Raff non ha ancora rilasciato un commento ufficiale sulla patch realizzata da Skype. Si attende quindi conferma da parte del ricercatore, che sicuramente si occuperà di verificare l'efficacia delle correzioni implementate da Skype nella nuova versione del client. Ad ogni modo è caldamente consigliato aggiornare il prima possibile la propria installazione Skype all'ultima versione in modo da bloccare i vettori di attacco e le metodologie di exploit finora conosciute.

Link per approfondimenti:

Skype per Windows 3.6.0.248
Skype Security Blog
Raff Blog

Fonti: varie via Tweakness

c.m.g · 06-02-2008, 16:35

riscontro anche su Secunia.com:

http://secunia.com/advisories/28791/

c.m.g · 06-02-2008, 20:58

e security focus:

http://www.securityfocus.com/bid/27338

c.m.g · 07-02-2008, 21:32

è uscita l'ultima versione di skype che corregge questa falla.

06-02-2008, 16:33	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Skype: Fix per Falla Cross-Zone Scripting 6 febbraio 2008 alle 14.46 Skype ha rilasciato un aggiornamento per il suo popolare client VoIP (Skype per Windows 3.6.0.248) che include alcuni importanti fix di sicurezza a correzione di varie vulnerabilità critiche isolate da più di 2 settimane nel prodotto. Skype era stata costretta a disattivare la funzione di scaricamento dei clip filmati dalle gallerie video Dailymotion e Metacafe in Skype 3.5 e 3.6 per Windows, a causa di una vulnerabilità di Cross-Zone Scripting che poteva permettere ad un attacker di eseguire codice arbitrario sul sistema dell'utente attaccato senza consenso da parte della vittima. Come riportato in una news precedente la falla era stata inizialmente isolata sul sito web di Dailymotion, successivamente il ricercatore di sicurezza Aviv Raff aveva dimostrato una simile falla anche per Metacafe (sfruttabile iniettando script nei metadati dei video in "Metacafe pro" tramite Skype). Skype aveva quindi deciso di disattivare completamente le funzionalità di aggiunta video. Una settimana dopo sempre Raff aveva mostrato come utilizzare la medesima falla di Cross-Zone Scripting (che affligge in generale il modo in cui Skype utilizza il controllo web di Internet Explorer per renderizzare contenuti HTML) nella funzionalità SkypeFind (funzione disponibile dalla versione 3.1 di Skype che permette agli utenti di promuovere e recensire aziende in tutto il mondo). In questo caso l'attacco poteva essere condotto tramite uno script malizioso iniettato nel Nome Utente completo Skype. Quando una vittima visualizzava un'azienda che era stata recensita dall'attacker, lo script nocivo veniva eseguito nella finestra di SkypeFind in una Local Zone non protetta. Sfruttando inoltre l'URI handler skype: (nello specifico skype:?skypefind) era inoltre possibile creare un codice worm in grado di diffondersi sulla rete ed attaccare gli utenti di Skype vulnerabili. Skype ha ora annunciato la disponibilità della nuova versione del client 3.6.0.248 che include un fix per queste problematiche di sicurezza. Gli utenti che aggiorneranno la propria copia di Skype potranno utilizzare nuovamente le funzionalità di aggiunta video da Dailymotion e Metacafe. Gli utenti delle versioni precedenti del client non potranno accedere a questa funzionalità fino a che non eseguiranno l'upgrade. Allo stesso modo la funzione SkypeFind è stata ora corretta nella nuova versione di Skype. Aviv Raff non ha ancora rilasciato un commento ufficiale sulla patch realizzata da Skype. Si attende quindi conferma da parte del ricercatore, che sicuramente si occuperà di verificare l'efficacia delle correzioni implementate da Skype nella nuova versione del client. Ad ogni modo è caldamente consigliato aggiornare il prima possibile la propria installazione Skype all'ultima versione in modo da bloccare i vettori di attacco e le metodologie di exploit finora conosciute. Link per approfondimenti: Skype per Windows 3.6.0.248 Skype Security Blog Raff Blog Fonti: varie via Tweakness __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

06-02-2008, 16:35	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	riscontro anche su Secunia.com: http://secunia.com/advisories/28791/ __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

06-02-2008, 20:58	#3
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	e security focus: http://www.securityfocus.com/bid/27338 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

07-02-2008, 21:32	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	è uscita l'ultima versione di skype che corregge questa falla. __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email