Il bug potrebbe consentire la modifica della password, al verificarsi di determinate condizioni. Rischi comunque limitati per gli utenti.
Un consulente esperto in materia di sicurezza informatica ha notificato a Skype la scoperta di una vulnerabilità cross-site scripting che, se sfruttata da parte di un aggressore, potrebbe consentire la modifica della password scelta dall’utente a protezione del suo account.
Autore dello studio è il tedesco Levent Kayan, che sul suo blog ha pubblicato i dettagli circa la falla che interessa il client VoIP recentemente acquisito da Microsoft.
Secondo Kayan il problema risiederebbe nelle modalità con cui vengono gestiti i dati inseriti nel campo all’interno del quale è possibile inserire il proprio numero di telefono cellulare. Il ricercatore, infatti, ha sviluppato del codice JavaScript che, se inserito nel campo citato, permetterà di sferrare l’attacco.
Non appena uno dei contatti Skype si collegherà, riceverà automaticamente il profilo aggiornato dell’aggressore ed il codice JavaScript sarà eseguito. Secondo Kayan, un malintenzionato potrebbe “spiare” le comunicazioni dell’utente-vittima od addirittura, nei casi più gravi, prendere il controllo del suo sistema.
Rischi limitati
Ovviamente ci sono dei fattori che “mitigano” i rischi connessi alla vulnerabilità appena venuta a galla. L’aggressore, ad esempio, deve essere necessariamente nella lista di contatto della vittima.
Inoltre, l’esecuzione del codice nocivo potrebbe non verificarsi nell’esatto momento in cui l’altro utente si collega al network di Skype. Potrebbero essere quindi necessari più login dell’utente preso di mira affinché l’attacco vada a buon fine.
La lacuna di sicurezza dovrebbe essere di semplice risoluzione dal momento che dovrebbe bastare introdurre un controllo sulla tipologia di informazioni che vengono inserite nel campo relativo ai numeri di telefoni mobili.
Skype dovrebbe rilasciare un aggiornamento nel corso della prossima settimana e, diversamente da quanto dichiarato da Kayan, la falla è stata ritenuta non particolarmente pericolosa. Ad essere interessate dal problema sono la versione 5.3.0.120 e precedenti di Skype per Windows e Mac OS X.