23 ene. 2008

Skype bloquea videos para proteger a sus usuarios

Meses atrás, Skype cerró un acuerdo con los portales Dailymotion y Metacafe para ofrecer a los usuarios la posibilidad de incorporar videos en la aplicación. Hoy, la opción que permite agregar videos en una ventana de chat, se encuentra desactivada por razones de seguridad.
La semana pasada Skype bloqueaba el acceso a los videos de Dailymotion y se demostraba la vulnerabilidad por medio de un video en el que se podía observar como la calculadora de Windows era ejecutada usando Skype, así como se ejecuta un programa de Windows inofensivo, un atacante malintencionado podría tomar el control total del sistema y ejecutar programas dañinos.
El problema es la forma en que el programa presenta los videos por medio de una ventana que utiliza el motor de Internet Explorer, el contenido se ejecuta en la zona local, de manera que el nivel de seguridad es bajo y se deja una puerta abierta para los atacantes. Al principio parecía ser que sólo con Dailymotion se presentaba el problema, pero luego de realizar diversas pruebas, el especialista en seguridad Aviv Raff también comprobó que la vulnerabilidad podía ser aprovechada con Metacafe.
Raff asegura que su prueba de concepto funciona con otras aplicaciones de mensajería instantánea y que la situación podría ser utilizada para propagar gusanos entre los usuarios, motivo por el cuál no reveló más detalles al respecto. Los desarrolladores de Skype se encuentran actualmente trabajando en una actualización que solucione el problema.

No hay comentarios: