Inicio / Alerta Temprana / Avisos Seguridad / Actualización de Skype para Mac soluciona un 0-day

Actualización de Skype para Mac soluciona un 0-day

Fecha de publicación: 
10/05/2011
Importancia: 
4 - Alta
Recursos afectados: 

Todas las versiones anteriores a la 5.1.0.922.

Descripción: 

Skype ha publicado una actualización para Mac que soluciona un 0day que permitiría a un atacante hacerse con el control del equipo de forma remota según afirma el investigador de seguridad Gordon Maddern.

Solución: 

Para actualizar la aplicación pulse en Skype, "Check for Updates" o bien descargue el software desde su página oficial.

Detalle: 

El aviso fue publicado en el blog de seguridad purehacking el 6 de Mayo. Un mes antes de la publicación de su post, Gordon Maddern encontró accidentalmente un fallo de seguridad en el cliente de Skype para Mac con el que consiguió ejecutar código.

Según comenta en su blog, Gordon Madder creo un prueba de concepto con metasploit utilizando meterpreter como payload y con el que satisfactoriamente pudo ejecutar una shell remota confirmando la veracidad de la vulnerabilidad.

El investigador afirma que únicamente se requiere enviar una mensaje a la víctima para poder ejecutar código y que por tanto la criticidad de la vulnerabilidad es muy alta. Es importante destacar que este mensaje tendría que generarse desde un contacto existente en la lista de contactos de Skype ya que, por defecto, las políticas de seguridad de la aplicación no permiten recibir mensajes de contactos que no hayan sido previamente autorizados.

En respuesta a la publicación de tal vulnerabilidad, Skype declaró en un post que ya eran conscientes de dicho problema y que estaban trabajando en una solución para proteger a los usuarios de Skype ante dicha vulnerabilidad.

Se recomienda actualizar el software manualmente con la corrección disponible del día 14 de abril. Las versiones de Skype para Linux y Windows no son vulnerables.