Skype trabalha para corrigir falha de segurança

Na sexta-feira (18/01) a Skype notificou que está trabalhando em uma correção para uma falha de segurança encontrada em seu software homônimo.

No boletim divulgado, a empresa afirma que um “usuário de Skype para Windows que navegue por um vídeo no site Dailymotion com determinado título malicioso via galeria de vídeo do programa pode experienciar execução automática de código sem consentimento”.

A empresa acrescentou que, para que a vulnerabilidade seja explorada, o usuário deve acessar o vídeo através do navegador de galerias na seção do Dailymotion, sendo assim a transmissão de vídeos pela janela de chat é segura.

Segundo o site InformationWeek, a Skype desabilitou temporariamente a capacidade de acrescentar vídeos da galeria Dailymotion até que o problema seja oficialmente corrigido.

O consultor de segurança Petko Petkov explicou em um artigo que, ainda que um tanto complexo, o ataque é muito possível e razoavelmente prático. O hacker acredita que a falha poderia ser explorada através de engenharia social ou ainda de spam ao serviço com centenas de vídeos comprometidos atrelados a palavras-chave populares.

Petkov explicou que ainda existe outro vetor de ataque que a Skype não corrigiu: as transmissões de dados de anúncios são feitas sem criptografia, possibilitando que, através de softwares específicos, hackers substituam os anúncios desprotegidos por códigos maliciosos, ataque bastante fácil segundo o especialista.