Una vulnerabilità cross-site scripting (XSS), che consente agli aggressori di dirottare le sessioni web è stata identificata in Skype. La debolezza XSS, simile a quella di maggio, è stata scoperta da un hacker armeno di nome Levent Kayan che ha notificato a Skype e resa pubblica sul suo blog. La vulnerabilità si trova nel client VoIP "mobile phone" ed è il risultato della validazione dell'input improprio in quel campo. La vulnerabilità di maggio permetteva agli utenti di ingannare i client Mac di Skype in esecuzione di codice arbitrario in quanto il client non controllava, o sterilizzava, i messaggi istantanei per assicurarsi che fossero liberi da codice maligno.
Skype aveva reso noto sul suo blog di aver reso disponibile una patch di bassa priorità. "Questo nuovo aggiornamento include alcune ulteriori aggiornamenti e correzioni di bug", si legge. Al momento, l'hacker armeno ingegnere di sicurezza di "noptrix", ha affermato nella notte di Mercoledì che una vulnerabilità XSS simile esiste altrove nel software di Skype. Levent Kayan ha detto che la mancata disinfezione di alcune informazioni utente o le uscite rese nel client Skype potrebbero ancora consentire al codice di essere eseguito. Skype considera la vulnerabilità un problema minore, tuttavia sta sviluppando una patch che sarà disponibile la prossima settimana.
In particolare, Kayan sostiene che "è possibile vedere le informazioni sulle sessioni di utenti remoti", in quanto un utente malintenzionato potrebbe utilizzarli per farsi passare come l'utente remoto ed effettuare chiamate sul proprio account. La falla permetterebbe a chiunque di dirottare l'account dei propri contatti, inserendo una stringa di codice nel campo "cellulare" dell'utente. L'hack è una semplice vulnerabilità cross-site scripting, una falla nel modo in cui Skype gestisce l'input dell'utente e impedisce che venga interpretato come comandi sul computer di destinazione.
"Questa cosa è un bug assolutamente banale ma al tempo stesso in grado di incidere macchine e gli account Skype", ha detto Kayan. L'ingegnere ha anche detto che potrebbe essere utilizzato per usufruire di altre falle, magari permettendo il pieno controllo del PC. Entrambe le ultime versioni di Windows e client Mac sono interessate. Si tratta di un cosiddetto difetto permanente di memorizzazione o XSS perché i pirati informatici possono inserire del JavaScript canaglia in campo al fine di generare una pagina definitivamente modificata. "Un utente malintenzionato potrebbe banalmente dirottare gli ID di sessione di utenti remoti e sfruttare la vulnerabilità per aumentare il vettore di attacco per il software di base e il sistema operativo della vittima", ha scritto Kayan nel suo advisory.
Secondo ZDNet, Skype non vede la vulnerabilità come un problema grave perché ci sono fattori limitanti perchè un attacco possa riuscire. Skype ha spiegato che al fine di sfruttare la vulnerabilità l'aggressore deve essere uno dei contatti della vittima con cui più frequentemente interagisce. Inoltre, le informazioni sulla sessione che possono essere ottenuti non sono legati all'account di Skype sul client, ma al sito.
Questo significa che gli aggressori non possono effettuare chiamate in nome delle vittime, come è stato suggerito, sostiene ZDNet. "Come potete immaginare, probabilmente qualcuno con cui avete a che fare è spesso improbabile che possa trarre vantaggio da questo bug comunque", ha detto il portavoce di Skype Chaim Haas a Forbes. Questo è vero a meno che il contatto abbia avuto il suo account dirottato. Non c'è ancora alcun segno che il bug sia stato sfruttato al di fuori dei test di Kayan.
Ma fino a quando Skype non pubblicherà un fix, Kayan suggerisce agli utenti di essere prudenti eseguendo il programma all'interno di una macchina virtuale sul proprio computer. Oltre a questo, egli consiglia di "Non aggiungere contatti, tranne gli amici. Ma anche gli amici possono essere sfruttati". All'inizio di quest'anno, un consulente di sicurezza australiano ha individuato una vulnerabilità XSS nella finestra di chat di Skype in ingresso che potrebbe essere sfruttata per crash del client della vittima.
Nessun commento:
Posta un commento