Skype asegura haber cerrado las puertas al software malicioso

Tras el descubrimiento de que la opción de videoconferencia de Skype suponía una entrada al malware, la compañía asegura haber solucionado el problema con un parche que los usuarios pueden descargar desde la página principal del programa.

Skype ha puesto a disposición de sus usuarios la descarga de un parche con el objetivo de solucionar un error descubierto en el programa hace tres semanas por el investigador israelí, Aviv Raff. Así, la empresa explicaba el pasado martes en un artículo, que el fallo del software había sido solucionado. El problema residía en la opción de compartición de vídeo del programa, (servicio que permite compartir vídeos hospedados en Dailymotion.com mientras se chatea con otros usuarios), pues Skype arranca por defecto esta herramienta utilizando Internet Explorer con un nivel de seguridad bajo en la zona local, lo que abre una puerta de acceso a los atacantes para introducir un gusano tipo cross-zone scripting (XSS) y hacer todo tipo de fechorías como leer y escribir archivos del disco local o lanzar ejecutables.

Después de que Raff y otros publicaran post, Skype tapó temporalmente el agujero en las conexiones realizadas a través de Dailymotion. Pero seis días más tarde, Raff detectó un problema aún mas serio en Metacafe. Además, la semana pasada el investigador descubrió otro fallo en el programa en la opción SkypeFind, comando que permite a los usuarios recomendar negocios a otros y escribir revisiones de los mismos. Raff explicó que si un hacker hiciera una de esas revisiones incluyendo un software malicioso, cualquier usuario que viera su empresa a través de esta herramienta podría ser infectado.

Según el informático, todas las vulnerabilidades se originan por el modo de seguridad baja con el que Skype abre Internet Explorer, un problema que, a su juicio, sería relativamente fácil de solucionar. "Para bloquear la zona local, básicamente tendrían que cambiar un valor de registro," indicó el jueves pasado.

Skype ha asegurado haber hecho eso justamente. "El problema principal ha sido solucionado parcheando el control de seguridad de Internet Explorer”, informó. Con este parche, disponible para la descarga de los usuarios desde la web de la compañía o desde la opción “Check for Updates” del propio programa, la empresa confirma haber resuelto todos los fallos relacionados con Dailymotion, Metacafe y SkypeFind.