Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta grave vulnerabilità zero-day in Skype

remote code execution  Skype   martedì, 27 giugno 2017

Microsoft Skype è un’applicazione di libero utilizzo che fornisce servizi di messaggistica istantanea testuale, VoIP e chat video.

I ricercatori di sicurezza del Vulnerability Lab hanno recentemente svelato l’esistenza di una grave vulnerabilità (CVE-2017-9948) in Skype per i sistemi Windows x86 (32-bit). La vulnerabilità è legata ad una condizione di buffer overflow dello stack che si verifica nella libreria MSFTEDIT.DLL che implementa la funzionalità di gestione degli appunti condivisi via RDP. Un attaccante locale o remoto potrebbe sfruttare questa vulnerabilità inserendo negli appunti un’immagine appositamente predisposta per causare il crash dell’applicazione ed eseguire codice arbitrario sui computer connessi in rete attraverso il software Skype.

Risultano afflitte da questa vulnerabilità le seguenti versioni di Skype:

  • Microsoft Skype v7.3.6
  • Microsoft Skype v7.3.5.103
  • Microsoft Skype v7.2

Vulnerability Lab ha avvisato Microsoft della scoperta di questa vulnerabilità lo scorso 16 maggio. L’8 giugno Microsoft ha pubblicato una patch ufficiale che risolve questa vulnerabilità in Skype. Successivamente, il 26 giugno, la vulnerabilità è stata resa di pubblico dominio dagli scopritori.

La falla è stata corretta in Microsoft Skype client per Windows versione 7.37.178. Si raccomanda agli utenti di scaricare ed installare l’ultima versione disponibile di questa applicazione dal sito ufficiale di Skype.

Notizie correlate

Vulnerabilità critiche in VMware vRealize Operations for Horizon Adapter

20 febbraio 2020

VMware ha rilasciato un avviso di sicurezza relativo a vulnerabilità multiple, di cui diverse critiche, nel prodotto vRealize Operations for Horizon Adapter per Windows.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe After Effects e Adobe Media Encoder

20 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza critici per After Effects e Media Encoder. Questi aggiornamenti risolvono due vulnerabilità che possono causare l’esecuzione di codice arbitrario.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2020)

10 febbraio 2020

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto