lunes, 1 de junio de 2015

Un mensaje de chat que inutiliza por completo Skype

Usuarios de Skype han descubierto un fallo en la aplicación que permite a un usuario cerrar el cliente Skype de otro usuario del que es contacto, e impedir que vuelva a funcionar de forma permanente.

La vulnerabilidad, según informa Business Insider, parece estar causada por un fallo al renderizar caracteres Unicode. Simplemente enviar el mensaje "http://:" (sin las comillas) basta para aprovechar la vulnerabilidad. Afecta a las versiones de escritorio de Windows (no a la versión Metro), Android e iOS, pero no a las versiones de OS X y Linux. Al almacenarse el mensaje en el historial de conversaciones de forma remota, no es posible librarse del fallo una vez aprovechado borrando el historial local. Ya que tan pronto se conecte al servidor, descargará el "dichoso" mensaje y la aplicación se cerrará inesperadamente.

Todavía no hay solución oficial definitiva, aunque según hemos podido probar en el laboratorio de Hispasec, parece que Microsoft está borrando los mensajes que pueden aprovechar esta vulnerabilidad, mostrando el mensaje "This message has been removed." (Este mensaje ha sido eliminado) en vez del original. Hemos conseguido reproducir el cierre inesperado una única vez, apareciéndonos el mensaje censor en posteriores intentos. La víctima ha sido la versión 7.5.0.102 en Windows XP SP3 32 bits y el atacante la versión 4.3 en Ubuntu Linux 14.04 LTS. Un intento previo de aprovechar la vulnerabilidad desde la versión de XP cerraba inesperadamente este cliente atacante antes de enviar el mensaje.

Microsoft ha trabajado rápidamente para solucionar esta vulnerabilidad y ya facilita una versión que soluciona la vulnerabilidad disponible desde:
http://www.skype.com/download

Más información: 

Hilo de soporte en la comunidad de Skype:
Re: One skype account causing instant crash
http://community.skype.com/t5/Windows-desktop-client/Skype-just-started-crashing-on-multiple-clients/m-p/3996832
Skype Fix for crashes caused by bad URL
http://community.skype.com/t5/Windows-desktop-client/Skype-Fix-for-crashes-caused-by-bad-URL/td-p/3997463

These 8 characters crash Skype, and once they’re in your chat history, the app can’t start (Update: fixed)
http://venturebeat.com/2015/06/02/these-8-characters-crash-skype-and-once-theyre-in-your-chat-history-the-app-cant-start/

A simple 8-letter message is permanently breaking people's Skype appsRead more:
http://www.businessinsider.com/8-letter-unicode-message-skype-bug-reinstall-crashing-apple-ios-character-2015-6#ixzz3c0gp7Wat



Carlos Ledesma

@Ravenons

4 comentarios:

  1. Unknown3 de junio de 2015, 23:46

    Acabo de escribir "http://:" en Skype a un contacto desde Mac OS X Yosemite 10.10.3 con Skype 7.8 (390) y el programa se ha cerrado después de quedarse bloqueado unos instantes, el mensaje no llega a enviarse.

    ResponderEliminar
  2. Unknown5 de junio de 2015, 23:48

    Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  3. Anónimo5 de junio de 2015, 23:53

    Microsoft se esta luciendo últimamente...

    ... y luego pretende que naveguemos por Internet usando la voz en lugar de teclear direcciones (los que hacen phishing deben estar frotándose las manos).

    ResponderEliminar