Fonte:
Alerta do CAIS 16112004
[CAIS, 16.11.2004-15:59]
O CAIS obteve informações a respeito de uma vulnerabilidade de buffer overflow presente no software Skype, amplamente utilizado para comunicação através de VoIP na internet.
A vulnerabilidade consiste na maneira como o Skype trata argumentos passados a ele através da linha de comando. Se um atacante criar uma URL montada de forma específica, e conseguir convencer um usuário a acessá-la através de um e-mail ou de um site web, é possível executar o Skype com os parâmetros passados na linha de comando de forma a explorar essa vulnerabilidade, causando o travamento do programa ou mesmo a execução de código malicioso com as permissões do usuário executando o Skype.
A vulnerabilidade está sendo considerada como altamente crítica e exemplos de código para explorá-la estão começando a surgir na internet.
Softwares afetados:
* Skype versões entre 1.0.*.95 e 1.0.*.98
Correções disponíveis:
Recomenda-se fazer a atualização do software para sua versão mais recente:
* Skype versão 1.0.0.100
Mais informações:
* Skype "callto:" URI Handler Buffer Overflow Vulnerability
* Skype Change Log
* Skype callto:// URL buffer overflow
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
A vulnerabilidade consiste na maneira como o Skype trata argumentos passados a ele através da linha de comando. Se um atacante criar uma URL montada de forma específica, e conseguir convencer um usuário a acessá-la através de um e-mail ou de um site web, é possível executar o Skype com os parâmetros passados na linha de comando de forma a explorar essa vulnerabilidade, causando o travamento do programa ou mesmo a execução de código malicioso com as permissões do usuário executando o Skype.
A vulnerabilidade está sendo considerada como altamente crítica e exemplos de código para explorá-la estão começando a surgir na internet.
Softwares afetados:
* Skype versões entre 1.0.*.95 e 1.0.*.98
Correções disponíveis:
Recomenda-se fazer a atualização do software para sua versão mais recente:
* Skype versão 1.0.0.100
Mais informações:
* Skype "callto:" URI Handler Buffer Overflow Vulnerability
* Skype Change Log
* Skype callto:// URL buffer overflow
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
Links:
Alertas do CAIS no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml
Nenhum comentário:
Postar um comentário