[SECURITY-L] CAIS-Alerta: Vulnerabilidade no software de comunicacao Skype
CSIRT - UNICAMP
security em unicamp.br
Qua Nov 17 09:48:48 -02 2004
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade no software de comunicacao Skype
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Tue, 16 Nov 2004 15:59:10 -0200 (BRDT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS obteve informacoes a respeito de uma vulnerabilidade de buffer
overflow presente no software Skype, amplamente utilizado para comunicacao
atraves de VoIP na internet.
A vulnerabilidade consiste na maneira como o Skype trata argumentos
passados a ele atraves da linha de comando. Se um atacante criar uma URL
montada de forma especifica, e conseguir convencer um usuario a acessa-la
atraves de um e-mail ou de um site web, e' possivel executar o Skype com
os parametros passados na linha de comando de forma a explorar essa
vulnerabilidade, causando o travamento do programa ou mesmo a execucao de
codigo malicioso com as permissoes do usuario executando o Skype.
A vulnerabilidade esta' sendo considerada como altamente critica e
exemplos de codigo para explora-la estao comecando a surgir na internet.
Softwares afetados:
. Skype versoes entre 1.0.*.95 e 1.0.*.98
Correcoes disponiveis:
Recomenda-se fazer a atualizacao do software para sua versao mais recente:
. Skype versao 1.0.0.100
http://www.skype.com/products/
Mais informacoes:
. Skype "callto:" URI Handler Buffer Overflow Vulnerability
http://secunia.com/advisories/13191/
. Skype Change Log
http://www.skype.com/products/skype/windows/changelog.html
. Skype callto:// URL buffer overflow
http://xforce.iss.net/xforce/xfdb/16405
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBQZo/+Okli63F4U8VAQFh0AQAxiyohyLhuN1ziXevgKj/fNDZrv4MuZRx
LRlLOkAK13/vV7noNL/8Sl4yje3xTi16jvI1slK699T+x2eoixalcGv6G67DBu7l
wf6ZHLEllkfAfZNlrDmP24WRxuyXnOgyaThgNeTWd6qOaE3yloyNM0tTwVFOYPZ/
nmZRrH2FhpQ=
=ZM21
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L