RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Múltiplas Vulnerabilidades no Software Skype

Secunia Advisory SA17305

[CAIS, 27.10.2005-14:28, revisão 01]


O CAIS está repassando o alerta da Secunia, intitulado "SA17305 - Skype Multiple Buffer Overflow Vulnerabilities", que trata de múltiplas vulnerabilidades de estouro de buffer (área de armazenamento de dados) no Skype, um software amplamente utilizado para comunicação através de VoIP na internet.

As vulnerabilidades reportadas presentes no Skype podem, caso sejam exploradas por um atacante, levar à uma situação de negação de serviço (DoS) ou mesmo comprometer o sistema afetado:

1) Um erro na checagem de limite de memória existe quando o Skype trata URLs especificas como "callto://" e "skype://", e também quando o Skype gerencia a importação de um VCARD (um formato de cartão de visitas eletrônico). Um atacante que montasse uma URL ou VCARD especialmente preparado poderia executar um estouro de buffer, permitindo a execução remota de código malicioso no sistema afetado.

2) Um erro de estouro da área de armazenagem de um valor do tipo inteiro existe na alocação de memória quando o cliente Skype recebe um certo tipo de pacote UDP. A exploração com sucesso desta vulnerabilidade através de um pacote UDP especialmente montado poderia parar o sotware Skype, causando uma situação de negação de serviço (DoS). Existem relatos de que esta vulnerabilidade também poderia ser explorada via pacotes TCP, e permitiria a execução de código arbitrário através da sobrescrita de ponteiros na pilha de memória.

Sistemas afetados:

Ambas as vulnerabilidades afetam:

  • Versões entre 1.1.*.0 e 1.4.*.83 do Skype para Windows

A segunda vulnerabilidade afeta:

  • Versões 1.4.*.83 e anteriores do Skype para Windows
  • Versões 1.3.*.16 e anteriores do Skype para Mac OS X
  • Versões 1.2.*.17 e anteriores do Skype para Linux
  • Versões 1.1.*.6 e anteriores do Skype para Pocket PC

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

Mais informações:

Identificador CVE (http://cve.mitre.org): CVE-2005-3265, CVE-2005-3267

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303