Otro día, otro susto de seguridad. Esta vez, es la última versión de Skype que está en la línea de fuego después de que un investigador de seguridad descubrió que podría verse comprometida. La falla en el cliente de telefonía P2P significa que el código n'aer-do-well podría ejecutarse a través de Skype.

La aplicación utiliza Internet Explorer para representar funciones como la página 'agregar video al chat web'. El problema es que lo hace en la configuración de seguridad de Internet de la 'Zona local', lo que significa que el sistema no está adecuadamente bloqueado. Podría surgir un problema, por ejemplo, si un video se infectó con un código malicioso y luego se vio a través de la función de búsqueda de video de Skype.

Vulnerabilidad de secuencias de comandos en zonas cruzadas

Sin embargo, aunque Skype sin duda parcheará el código, se necesitarán varios engranajes para trabajar juntos para que la ejecución se lleve a cabo. Un sitio web de confianza entre las zonas de seguridad tendría que ser comprometido y visto dentro del navegador.

Según el experto en seguridad Aviv Raff, esto debería conocerse como una vulnerabilidad de secuencias de comandos en varias zonas, ya que la secuencia de comandos se ejecuta en la zona local de IE en lugar de la zona de Internet. Ha publicado un video de prueba de concepto de YouTube en su blog..

Skype v.3.6.0.244 es la versión afectada, aunque no se sabe si la vulnerabilidad es de mayor alcance.