Skype, bisogna aggiornare subito

Le versioni 3.5 di Skype per Windows prestano il fianco all’esecuzione automatica di codice a causa dell’errata gestione di un protocollo: urge aggiornare. Finora nessun comunicato ufficiale del produttore in materia: anzi, le nuove versioni sono state corrette in silenzio

Chi usa su Windows (ovvero la stragrande maggioranza) una versione non aggiornata è a rischio di esecuzione arbitraria di codice.

Il problema è legata alla gestione del protocollo URI (UniformResource Identifier, ovvero la possibilità di lanciare specificheapplicazioni dall’interno di un’applicazione in esecuzione) che di recente ha dato più di un grattacapo a vari vendor, da Microsoft a Mozilla.

Nello specifico, è un componente di Skype (Skype4COM) a rivelarsi vulnerabile, e il rischio è definito da vari analisti grave. Ad esempio, Secunia – che gestisce uno dei più ricchi database del Web relativi alle vulnerabilità – parla di “problema altamente critico”: è il quarto dei cinque livelli previsti nella propria scala. Grazie a questo bug è possibile, attirando l’utente verso siti Web appositamente costruiti, installare sui sistemi vulnerabili malware di vario tipo.

La vulnerabilità è confermata per le versioni 3.5 di Skype per Windows. Per vedere la versione utilizzata, è sufficiente richiamare la voce “Informazioni su Skype” dal menu “Aiuto” dell’applicazione.

Anche se – al pari di molte altre applicazioni – Skype usa un agente di aggiornamento automatico per erogare nuove versioni e correttivi per la sicurezza (se ne può modificare il comportamento dal menu “Strumenti / Opzioni / Avanzate”), si può parlare di scivolone per l’azienda lussemburghese: pare proprio che l’aggiornamento di metà novembre di Skype che prometteva migliori prestazioni in ambito video abbia corretto anche il bug del componente Skype4COM.

Peccato che Skype non ne abbia mai fatto menzione, e che la cosa sia emersa grazie a un bollettino dell’azienda che lo ha scoperto per prima, Tipping Point: nascondere più o meno coscientemente una magagna legata alla sicurezza non è mai una strategia vincente.

Fonte: www.mytech.it

Questa voce è stata pubblicata in news. Contrassegna il permalink.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...