Skype, nuova versione in arrivo.

Di Guido Sintoni.

Mytech, 8/2/2008.

http://www.mytech.it/computer/virus/articolo/idA028001070593.art

Finalmente risolto il bug di Skype che, scoperto poco meno di venti giorni fa dai ricercatori Aviv Raff e Petko Petkov, aveva costretto l'azienda lussemburghese
a rinunciare a un bel po' di funzioni legate alla ricerca di video su siti Web specifici da cui gli utenti Skype possonoscaricare clip aggiungendoli alle
proprie sessioni di chat.

Scriveva Villu Arak, uno dei riferimenti di Skype in tema di sicurezza: "Skype ha temporaneamente sospeso la possibilit di aggiungere video dalla galleria
di Dailymotion in attesa del rilascio di una fix ufficiale. Nel frattempo, Dailymotion sta esaminando la vulnerabilit sul proprio sito".

Cos  stato: Skype ha finalmente rilasciato una versione sicura - la 3.6.0.248 in ambito Windows: si pu anche usare la funzione di ricerca di aggiornamenti
presente nel menu '?' di Skype - descrivendo in un bollettino la vulnerabilit corretta; a dire il vero, oltre a Dailymotion sono stati nel frattempo bloccati
i collegamenti anche a Metacafe.

Il problema  quello che Raff chiamava "bug di tipo cross-zone" relativo al componente che si occupa di visualizzare codice HTML, mutuato da Internet Explorer:
controlli troppo laschi permettevano di eseguire codice Html proveniente dal Web con gli stessi privilegi (o meglio, nella stessa zona, la Local Zone)
di quello eseguito in locale. E quindi di eseguire potenzialmente codice maligno con le credenziali di amminstrazione.

La correzione ha richiesto tre settimane, un tempo in assoluto congruo anche se non da record, tanto pi che secondo Raff: "Per bloccare la Local Zone,
bisogna solo cambiare il valore di una chiave di registro". E Skype sembra confermare la cosa, scrivendo nel bollettino: "La vulnerabilit chiave  stata
corretta adeguando i controlli di sicurezza mutuati da Explorer in Internet Zone". Insomma, l'idea che la montagna abbia partorito il topolino non  del
tutto fuori luogo.

Guido Sintoni.

