Iforense

Actualiza Skype para solucionar un fallo de seguridad crítico

Skype es la aplicación de mensajería instantánea más utilizada para comunicarnos con otras personas, tanto en modo texto como mediante voz y vídeo, a través de Internet desde un ordenador. Esta aplicación es propiedad de Microsoft desde 2011 y, por ello, se suele instalar por defecto como parte del sistema operativo, sobre todo, en Windows 10. Sin embargo, un reciente fallo de seguridad en este cliente de mensajería ha puesto en peligro a todos los usuarios de la misma, quedando estos expuestos a diversos ataques informáticos.

Tal como podemos leer en The Hacker News, la empresa de seguridad Vulnerability Lab ha descubierto una nueva vulnerabilidad en este software de mensajería, registrada como CVE-2017-9948, que puede permitir a un atacante realizar un desbordamiento de búfer mientras se está realizando una llamada grupal, permitiendo al atacante ejecutar código directamente en la memoria del sistema.

Esta vulnerabilidad afecta a las versiones 7.2, 7.35 y 7.36 de Skype en los sistemas operativos de Microsoft desde Windows XP hasta Windows 10, por lo que todos los usuarios de este cliente de mensajería están, o más bien, han estado expuestos a ataques informáticos ya que, desde principios de junio, la vulnerabilidad ya ha sido solucionada, concretamente en la versión 7.37 de Skype.

Cómo funciona esta vulnerabilidad en Skype

El fallo de seguridad se encuentra en la librería MSFTEDIT.DLL. Para explotar el fallo, los piratas informáticos solo deben crear una imagen específica para esta tarea y, simplemente, copiando y pegando la imagen desde el portapapeles a la ventana principal de Skype, tanto el cliente local como el remoto generan un error y dejan de funcionar.

Este error se genera por un desbordamiento de búfer y, por lo tanto, se generan en el sistema todo tipo de errores, además de dejar la puerta abierta a otros exploits específicos y a la posibilidad de ejecutar código directamente en la memoria del sistema afectado.

A continuación, os dejamos una prueba de concepto de esta vulnerabilidad y de cómo podría explotarse.

Debido a la naturaleza de este tipo de fallos, su peligrosidad es tan alta ya que no requiere intervención del usuario para poder explotarse y, además, tampoco requiere unos permisos especiales más allá que una simple cuenta de usuario con permisos reducidos que utilice este cliente de mensajería.

Actualiza Skype a la versión 7.37 para solucionar esta vulnerabilidad

La vulnerabilidad fue reportada por los investigadores de seguridad a Microsoft el pasado 16 de mayo. Acto seguido, la compañía empezó a investigarla y a solucionarla en el cliente de mensajería que, con la llegada de la versión 7.37 de este cliente de mensajería, finalmente fue solucionada.

Skype 7.37Si utilizas Skype, debes asegurarte de tener este cliente de mensajería actualizado a su última versión para evitar que los piratas informáticos puedan explotar esta sencilla y peligrosa vulnerabilidad. Para descargar la última versión de este cliente de mensajería, debes acceder al siguiente enlace y, una vez descargado, instalarlo en el ordenador.

Aunque no se especifica si la versión UWP de Windows 10 es vulnerable o no, es recomendable actualizarla igualmente, por seguridad.

FUENTE: redeszone.net