Aviv Raff, un esperto in sicurezza informatica, ha scoperto un nuovo bug in Skype e ne dà dimostrazione sul proprio blog.
In sostanza, in certe condizioni anche l’ultima release di Skype 3.6.0.244 consentirebbe l’esecuzione di codice maligno ai danni degli utilizzatori di Internet Explorer.
Infatti il browser di Microsoft utilizza in Skype le regole di “Local Zone” per generare le pagine interne ed esterne in Html, ma un errore, relativamente frequente, di scripting potrebbe favorire l’esecuzione di codice potenzialmente dannoso che altrimenti richiederebbe permessi maggiori per girare.
Un altro esperto in sicurezza, Petko Patkov, afferma che quando una determinata risorsa viene eseguita a livello di Local Zone, in teoria è possibile che venga eseguita qualsiasi attività non voluta in modo assolutamente libero e nascosto, compresa la lettura e scrittura dei file sul disco e il lancio di programmi eseguibili.
In particolare Skype potrebbe essere vittima di malware perché il sito web usato per le ricerche video è vulnerabile al cross scripting; difatti, in attesa di una patch ufficiale, l’editore ha temporaneamente disabilitato le funzioni relative agli add video per eliminare la possibilità di diffusione di codice maligno attraverso una pagina web “ritoccata”.
Fonte: Zeus News