Dwa poważne błędy w Skype

Przeczytaj także: Skype dla wszystkich

Biuletyn opisuje lukę w obsłudze wywołań URI Skype'a wykorzystujących "protokół" callto:// oraz skype:// oraz w imporcie wizytówek VCARD w formacie specyficznym dla Skype. Wykorzystanie błędu wymaga nakłonienia użytkownika do kliknięcia w odpowiednio spreparowany odnośnik lub wczytania spreparowanej wizytówki. W obu przypadkach możliwe jest zdalne wykonanie kodu przygotowanego przez atakującego z przywilejami użytkownika korzystającego ze Skype'a. Błąd dotyczy wyłącznie użytkowników Skype dla Windows w wersji od 1.1.*.0 do 1.4.*.83.

Kolejny błąd, opisany w biuletynie dotyczy obsługi funkcji sieciowych i pozwala na przepełnienie i nadpisanie sterty programu przez wysłanie odpowiednio spreparowanego strumienia ruchu do podatnego klienta Skype. Prawdopodobnie potencjalne następstwa wykorzystania błędu ograniczone są do zablokowania działania programu i konieczności ponownego uruchomienia go. Autorzy nie wykluczają jednak poważniejszego zagrożenia. Ten błąd dotyczy użytkowników Skype'a na wszystkich platformach.

Oba błędy zostały naprawione w najnowszej wersji komunikatora Skype - 1.4.*.83 dla Windows, 1.2.*.17 dla Linuxa, 1.3.*.16 dla Mac OS X oraz 1.1.*.6 dla Pocket PC. Wszyscy użytkownicy Skype powinni zaktualizować posiadaną wersję programu.