Se han descubierto múltiples vulnerabilidades en Skype, las cuales podrían ser explotadas por atacantes remotos para ejecutar código arbitrario u ocasionar un DoS (Denegación de Servicio).
El primer fallo es debido a errores de desbordamiento de buffer al procesar URL's del tipo "callto://" o "skype://" especialmente alteradas, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario en el sistema de la víctima.
La segunda vulnerabilidad es debida a un error de desbordamiento de buffer al importar archivos VCARD no estándar, lo cual podría ser explotado por un atacante remoto convenciendo a la víctima para que importe un archivo VCARD malicioso y ejecutar código arbitrario.
El tercer fallo es debido a un error no especificado en una rutina de manejo de tráfico de red, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario u ocasionar un DoS.
Productos afectados:
Skype para Windows Release 1.4.*.83 y anteriores
Skype para Mac OS X Release 1.3.*.16 y anteriores
Skype para Linux Release 1.2.*.17 y anteriores
Skype para Pocket PC Release 1.1.*.6 y anteriores
Solución:
Actualizar a la versión más reciente de Skype
http://www.skype.com/download/
Créditos:
Vulnerabilidades reportadas por Mark Rowe, Joe Moore e Imad Lahoud.
Referencias:
FrSIRT/ADV-2005-2197
Skype Multiple URI and VCARD Handling Buffer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2197
SECUNIA ADVISORY ID: SA17305
Skype Multiple Buffer Overflow Vulnerabilities
http://secunia.com/advisories/17305/
