Skype, nuova versione in arrivo.

Di Guido Sintoni.

Mytech, 8/2/2008.

http://www.mytech.it/computer/virus/articolo/idA028001070593.art

Finalmente risolto il bug di Skype che, scoperto poco meno di venti giorni fa dai ricercatori Aviv Raff e Petko Petkov, aveva costretto l'azienda lussemburghese a rinunciare a un bel po' di funzioni legate alla ricerca di video su siti Web specifici da cui gli utenti Skype possonoscaricare clip aggiungendoli alle proprie sessioni di chat.

Scriveva Villu Arak, uno dei riferimenti di Skype in tema di sicurezza: "Skype ha temporaneamente sospeso la possibilità di aggiungere video dalla galleria di Dailymotion in attesa del rilascio di una fix ufficiale. Nel frattempo, Dailymotion sta esaminando la vulnerabilità sul proprio sito".

Così è stato: Skype ha finalmente rilasciato una versione sicura - la 3.6.0.248 in ambito Windows: si può anche usare la funzione di ricerca di aggiornamenti presente nel menu '?' di Skype - descrivendo in un bollettino la vulnerabilità corretta; a dire il vero, oltre a Dailymotion sono stati nel frattempo bloccati i collegamenti anche a Metacafe.

Il problema è quello che Raff chiamava "bug di tipo cross-zone" relativo al componente che si occupa di visualizzare codice HTML, mutuato da Internet Explorer: controlli troppo laschi permettevano di eseguire codice Html proveniente dal Web con gli stessi privilegi (o meglio, nella stessa zona, la Local Zone) di quello eseguito in locale. E quindi di eseguire potenzialmente codice maligno con le credenziali di amminstrazione.

La correzione ha richiesto tre settimane, un tempo in assoluto congruo anche se non da record, tanto più che secondo Raff: "Per bloccare la Local Zone, bisogna solo cambiare il valore di una chiave di registro". E Skype sembra confermare la cosa, scrivendo nel bollettino: "La vulnerabilità chiave è stata corretta adeguando i controlli di sicurezza mutuati da Explorer in Internet Zone". Insomma, l'idea che la montagna abbia partorito il topolino non è del tutto fuori luogo.

Guido Sintoni.