Usuarios de Skype han descubierto un fallo en la aplicación que permite a un usuario cerrar el cliente Skype de otro usuario del que es contacto, e impedir que vuelva a funcionar de forma permanente.
La vulnerabilidad,
según informa Business Insider, parece estar causada por un fallo al renderizar
caracteres Unicode. Simplemente enviar el mensaje "http://:" (sin las
comillas) basta para aprovechar la vulnerabilidad. Afecta a las versiones de
escritorio de Windows (no a la versión Metro), Android e iOS, pero no a las
versiones de OS X y Linux. Al almacenarse el mensaje en el historial de
conversaciones de forma remota, no es posible librarse del fallo una vez
aprovechado borrando el historial local. Ya que tan pronto se conecte al
servidor, descargará el "dichoso" mensaje y la aplicación se cerrará
inesperadamente.
Todavía no hay solución
oficial definitiva, aunque según hemos podido probar en el laboratorio de
Hispasec, parece que Microsoft está borrando los mensajes que pueden aprovechar
esta vulnerabilidad, mostrando el mensaje "This message has been removed."
(Este mensaje ha sido eliminado) en vez del original. Hemos conseguido
reproducir el cierre inesperado una única vez, apareciéndonos el mensaje censor
en posteriores intentos. La víctima ha sido la versión 7.5.0.102 en Windows XP
SP3 32 bits y el atacante la versión 4.3 en Ubuntu Linux 14.04 LTS. Un intento
previo de aprovechar la vulnerabilidad desde la versión de XP cerraba
inesperadamente este cliente atacante antes de enviar el mensaje.
Recomendación
- Microsoft ha trabajado rápidamente para solucionar esta vulnerabilidad y ya facilita una versión que soluciona la vulnerabilidad disponible desde: http://www.skype.com/download
- Hilo de soporte en la comunidad de Skype: Re: One skype account causing instant crash http://community.skype.com/t5/Windows-desktop-client/Skype-just-started-crashing-on-multiple-clients/m-p/3996832
- Skype Fix for crashes caused by bad URL http://community.skype.com/t5/Windows-desktop-client/Skype-Fix-for-crashes-caused-by-bad-URL/td-p/3997463
- These 8 characters crash Skype, and once they’re in your chat history, the app can’t start (Update: fixed) http://venturebeat.com/2015/06/02/these-8-characters-crash-skype-and-once-theyre-in-your-chat-history-the-app-cant-start/
- A simple 8-letter message is permanently breaking people's Skype appsRead more: http://www.businessinsider.com/8-letter-unicode-message-skype-bug-reinstall-crashing-apple-ios-character-2015-6#ixzz3c0gp7Wat
