Un error en el software de comunicaciones de Skype podría permitir a los hackers introducir software malévolo en los ordenadores que estén utilizando la opción de videoconferencia del programa.
Skype se ha convertido en otro de los programas que, debido a su configuración, pueden permitir el acceso de intrusos a nuestros ordenadores. El problema viene por el uso que el programa hace de las ventanas de Internet Explorer para dar HTML, según explicó el pasado jueves el investigador de seguridad Aviv Raff. “Skype no aplica controles de seguridad estrictos al software, por lo que un atacante podría ejecutar el código de scripting en el sistema de la víctima de forma peligrosa y en última instancia instalar un software malévolo”, subrayó.
El fallo se establece cuando Skype arranca Internet Explorer con un nivel de seguridad bajo en la zona local, por lo que abre una puerta que puede dar acceso a los atacantes los cuales pueden hacer todo tipo de cosas como leer y escribir archivos del disco local o lanzar ejecutables.
Por su parte, el informático especializado en temas de seguridad, Petko Petkov, escribió en un post de su blog que para que los hackers puedan atacar, primero tienen que encontrar un sitio web de confianza que contenga un defecto de programa común llamado cross-zone scripting error. De este manera, este camino les dará un camino de engañar Skype y poder arrancar un software malévolo desde una web.
A través de un video colgado en su blog, Raff demostraba este problema en la web Dailymotion.com en la que se apreciaba cómo podía ser explotada para lanzar un programa de calculadora en Windows, usando el Skype. "El usuario simplemente tiene que visitar DailyMotion vía Skype y darle al botón de vídeo para charlar´. De esta manera se activará el vector cross-site scripting”, explicó Petkov.
Además, el informático advirtió que lo peor del asunto es que los atacantes pueden inundar el sitio con publicidad maliciosamente codificada con el objetivo de incrementar su probabilidad de infectar a una víctima. Sin embargo, Raff aseguró que estos tipos de ataques son muy fáciles de evitar y recalcó que el defecto se encuentra sobretodo en la última versión de Skype (versión 3.6.0.244), aunque insistió en que las versiones más viejas del software también podrían estar en peligro. "Hasta que los chicos Skype resuelvan esta vulnerabilidad, recomiendo que dejen de utilizar la opción de video del programa”, subrayó.
El fallo se establece cuando Skype arranca Internet Explorer con un nivel de seguridad bajo en la zona local, por lo que abre una puerta que puede dar acceso a los atacantes los cuales pueden hacer todo tipo de cosas como leer y escribir archivos del disco local o lanzar ejecutables.
Por su parte, el informático especializado en temas de seguridad, Petko Petkov, escribió en un post de su blog que para que los hackers puedan atacar, primero tienen que encontrar un sitio web de confianza que contenga un defecto de programa común llamado cross-zone scripting error. De este manera, este camino les dará un camino de engañar Skype y poder arrancar un software malévolo desde una web.
A través de un video colgado en su blog, Raff demostraba este problema en la web Dailymotion.com en la que se apreciaba cómo podía ser explotada para lanzar un programa de calculadora en Windows, usando el Skype. "El usuario simplemente tiene que visitar DailyMotion vía Skype y darle al botón de vídeo para charlar´. De esta manera se activará el vector cross-site scripting”, explicó Petkov.
Además, el informático advirtió que lo peor del asunto es que los atacantes pueden inundar el sitio con publicidad maliciosamente codificada con el objetivo de incrementar su probabilidad de infectar a una víctima. Sin embargo, Raff aseguró que estos tipos de ataques son muy fáciles de evitar y recalcó que el defecto se encuentra sobretodo en la última versión de Skype (versión 3.6.0.244), aunque insistió en que las versiones más viejas del software también podrían estar en peligro. "Hasta que los chicos Skype resuelvan esta vulnerabilidad, recomiendo que dejen de utilizar la opción de video del programa”, subrayó.
