Usuarios
de Skype han descubierto un
fallo en la aplicación que permite a un usuario cerrar el cliente Skype de
otro usuario del que es contacto, e impedir
que vuelva a funcionar de forma permanente.
La vulnerabilidad,
según
informa Business Insider, parece estar causada por un fallo al renderizar
caracteres Unicode. Simplemente enviar el
mensaje "http://:"
(sin las comillas) basta para aprovechar la vulnerabilidad. Afecta a las
versiones de escritorio de Windows (no a la versión Metro), Android e iOS, pero
no a las versiones de OS X y Linux. Al almacenarse el
mensaje en el historial de
conversaciones de forma remota, no es posible librarse del fallo una vez
aprovechado borrando el historial local. Ya que tan pronto se conecte al
servidor, descargará el "
dichoso"
mensaje y la aplicación se cerrará inesperadamente.
Todavía no hay solución oficial
definitiva, aunque según hemos podido probar en el laboratorio de Hispasec,
parece que Microsoft está borrando los mensajes que pueden aprovechar esta
vulnerabilidad, mostrando el mensaje "This
message has been removed." (Este mensaje ha sido eliminado) en vez del
original. Hemos conseguido reproducir el cierre inesperado una única vez,
apareciéndonos el mensaje censor en posteriores intentos. La víctima ha sido la
versión 7.5.0.102 en Windows XP SP3 32 bits y el atacante la versión 4.3 en
Ubuntu Linux 14.04 LTS. Un intento previo de aprovechar la vulnerabilidad desde
la versión de XP cerraba inesperadamente este cliente atacante antes de enviar
el mensaje.
Más información:
Hilo de soporte en la comunidad
de Skype:
Re: One skype account causing instant crash
Skype Fix for crashes caused by bad URL
These 8 characters crash Skype, and once
they’re in your chat history, the app can’t start (Update: fixed)
A simple 8-letter message is permanently
breaking people's Skype appsRead more:
Carlos Ledesma