-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o alerta da Secunia, intitulado "SA17305 - Skype Multiple Buffer Overflow Vulnerabilities", que trata de multiplas vulnerabilidades de estouro de buffer (area de armazenamento de dados) no Skype, um software amplamente utilizado para comunicacao atraves de VoIP na internet.
As vulnerabilidades reportadas presentes no Skype podem, caso sejam exploradas por um atacante, levar `a uma situacao de negacao de servico
(DoS) ou mesmo comprometer o sistema afetado:
1) Um erro na checagem de limite de memoria existe quando o Skype trata URLs especificas como "callto://" e "skype://", e tambem quando o Skype gerencia a importacao de um VCARD (um formato de cartao de visitas eletronico). Um atacante que montasse uma URL ou VCARD especialmente preparado poderia executar um estouro de buffer, permitindo a execucao remota de codigo malicioso no sistema afetado.
2) Um erro de estouro da area de armazenagem de um valor do tipo inteiro existe na alocacao de memoria quando o cliente Skype recebe um certo tipo de pacote UDP. A exploracao com sucesso desta vulnerabilidade atraves de um pacote UDP especialmente montado poderia parar o sotware Skype, causando uma situacao de negacao de servico (DoS). Existem relatos de que esta vulnerabilidade tambem poderia ser explorada via pacotes TCP, e permitiria a execucao de codigo arbitrario atraves da sobrescrita de ponteiros na pilha de memoria.
Sistemas afetados:
Ambas as vulnerabilidades afetam:
. Versoes entre 1.1.*.0 e 1.4.*.83 do Skype para Windows
A segunda vulnerabilidade afeta:
. Versoes 1.4.*.83 e anteriores do Skype para Windows . Versoes 1.3.*.16 e anteriores do Skype para Mac OS X . Versoes 1.2.*.17 e anteriores do Skype para Linux . Versoes 1.1.*.6 e anteriores do Skype para Pocket PC
Correcoes disponiveis:
Recomenda-se fazer a atualizacao para as versoes disponiveis em
. Skype para Windows
http://www.skype.com/products/skype/windows/
. Skype para Mac OS
http://www.skype.com/products/skype/macosx/
. Skype para Linux
http://www.skype.com/products/skype/linux/
. Skype para Pocket PC
http://www.skype.com/products/skype/pocketpc/
Mais informacoes:
. SA17305 - Skype Multiple Buffer Overflow Vulnerabilities
http://secunia.com/advisories/17305/
. SKYPE-SB/2005-002: Buffer overflow in Skype-specific URI and VCARD import handling
http://www.skype.com/security/skype-sb-2005-02.html
. SKYPE-SB/2005-003: Heap overflow in networking routine
http://www.skype.com/security/skype-sb-2005-03.html
Identificador CVE (http://cve.mitre.org): CVE-2005-3265, CVE-2005-3267
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes.
O CAIS Alerta tambem e' oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# [email protected] http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBQ2EAJ+kli63F4U8VAQEjrAP/ZzhCHl8OdTRZFHsXaD+zITueg6mTm2iu
MWnXqTtDqpwHvFcAfpSZfgYiwTJ29i04rDxZKjhhTvSzQ2IUSdw7XiHZIqezpIJS
vF3nZK7QpnAhO0qEQcvcwccJz1vCMUswE97JrtcOrMriWCuPxbDhtyHTyrZzcxjg
g58koALOyT0=
=Sz4Z
-----END PGP SIGNATURE-----
--
Para SAIR da lista rnp-alerta envie uma mensagem em branco para:
<[email protected]>
Skype Multiple Buffer Overflow Vulnerabilities
-
07_Phantom
- Veterano
- Posts: 6803
- Joined: 07 Apr 2003 21:00
- Contact:
Skype Multiple Buffer Overflow Vulnerabilities
SP!
Phantom
Phantom