Vulnerability Team

Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o teléfonos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X.

Como todos los cross-site scripting, el error está causado por una falta de validación de los datos introducidos en la entrada del perfil "Mobile phone". Esto permite a un atacante remoto obtener el identificador de sesión de la víctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la función onload de JavaScript. Afirma que avisará a Skype del problema, por tanto no existe parche oficial disponible. Afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

SKYPE WEBSITE.

fuente: csirtcv.gva.es

No han pasado ni diez días desde la última avería global y el servicio de comunicaciones VoIP Skype ha vuelto a registrar fallos de funcionamiento que impiden a los usuarios acceder a sus cuentas.
Los internautas que habitualmente utilizan esta herramienta han comenzado a quejarse a través de Twitter de problemas para entrar en el servicio. La compañía ha reconocido que están teniendo complicaciones aunque por el momento no han facilitado muchos detalles de la causa de este nuevo fallo.

“Un pequeño número de ustedes pueden tener problemas para acceder a Skype”, ha reconocido la compañía, que asegura que están “investigando la causa” y que esperan tener más datos sobre el origen del problema “pronto”.

Se desconoce si se trata de una caída a nivel general o si solamente está afectando a una parte de los usuarios, aunque según se pueden leer las quejas que se están publicando en Twitter, usuarios de España se encuentran entre los afectados.
Hace poco más de una semana Skype sufrió una avería global por la que el servicio se cerraba automáticamente y mostraba un mensaje de error cuando se intentaba acceder de nuevo. La actividad de la plataforma estuvo paralizada durante horas y la compañía facilitó una serie de instrucciones a seguir para solucionar el fallo de forma manual hasta que lanzaron una actualización que solventaba el problema.
Al igual que ocurrió en esa ocasión, los usuarios de Skype ya han comenzado a criticar a Microsoft asegurando que desde que los de Redmond compraron el servicio VoIP, la plataforma está registrando más fallos de lo normal.

¿Alguien está teniendo problemas para entrar en Skype?
Actualización: Skype ha explicado que la caída se debe a “un problema de configuración”. Aseguran que ya han comenzado a solucionarlo y que en la próxima hora debería volver a funcionar el servicio.




fuente: theinquirer.es

Lo que ayer comenzó como un simple rumor hoy se ha convertido en una de las mayores operaciones de compra realizadas por Microsoft, ya que diversas fuentes aseguran que la adquisición de Skype está completada.

Las especulaciones en torno a este movimiento cobraron fuerza a última hora de ayer cuando The Wall Street Journal comenzó a hablar de cifras. Esta mañana, Skype y Microsoft anunciaron que la empresa de Redmond acaba de adquirir a Skype por un monto de US$8.5 mil millones. Eso quiere decir que los servicios de los 107 millones de usuarios registrados en el servicio de comunicación por voz y video se verían expandidos hacia las plataformas de Microsoft. Es decir, Skype tendrá interoperabilidad con Xbox 360, Kinect, Windows Phone, Lync y Outlook.

Tony Bates se quedará a la cabeza del equipo, que se volverá una nueva división llamada Microsoft Skype Division. Bates les reportaría directament a Steve Ballmer, quien dijo que juntas, ambas empresas redefinirán el concepto de las comunicaciones en tiempo real.

Una vez conocida la noticia, los analistas ya han comenzado a preguntarse si esta cantidad no es demasiado abultada para el valor real de Skype, pero la adquisición iría más allá del puro beneficio económico, ya que Microsoft podrá acceder a los 663 millones de usuarios registrados de esta plataforma.

La adquisición de Skype por parte de Microsoft todavía requiere de las aprobaciones regulatorias de rigor, así que la transición no ocurrirá de manera inmediata, sino que se espera que suceda durante 2011.

fuente: fayerwayer.com | theinquirer.es

La versión de Skype para Android acaba de recibir una actualización que se encarga de solucionar un reciente fallo de privacidad que permitía a aplicaciones de terceros tener acceso a información del usuario, incluyendo datos personales así como la lista de contactos y todo el historial de conversaciones almacenado.

La compañía ofreció una disculpa a los usuarios por este problema y aseguró por medio de su blog oficial que hasta este momento no han recibido ningún reporte de alguna aplicación que haya o esté aprovechando el agujero de privacidad, pero de cualquier modo asegura que seguirán muy al pendiente de toda esta situación.

Está de más decir que es una actualización urgente para todos los usuarios del cliente VoIP en Android, por lo que les recomendamos actualizar cuanto antes. La nueva nueva versión (1.0.0.983) puede ser descargar desde el Android Market.

fuente: opensecurity.es

La herramienta VoIP deja una brecha de seguridad para datos como la ID de usuario, los números de teléfono o las conversaciones de chat.

La firma de comunicaciones Skype ha confirmado una vulnerabilidad detectada por la web Android Police en la versión de su software para dispositivos con Android.

Mediante este agujero, la aplicación VoIP expondría los datos de los propietarios de los terminales a los ciberdelincuentes, que podrían apropiarse fácilmente de información como la ID de usuario, los números de teléfono y los chat logs (ficheros en los que se almacenan las conversaciones mantenidas a través del chat de Skype).

El problema se debería a que los datos se almacenarían sin cifrar en bases de datos sqlite3 y Skype para Android se serviría de permisos incorrectos para estas bases de datos. Dado que la ID de usuario se conserva en una ubicación estática, una vez que es leída, permite el acceso a estas bases internas.

Una app maliciosa sería capaz de poder acceder a las bases de datos de Skype, descargando toda esa información sensible de los teléfonos y tablets con Android. Así, en Android Police han creado una denominada ‘Skypwned’ para demostrar que la brecha de seguridad existe.

El fallo se ha detectado siete meses después de que el programa se comenzara a distribuir en Android Market.

fuente: itespresso.es

 

Mozilla ha bloqueado un add-on de Skype para Firefox, afirmando que ha causado más de 40.000 caídas del navegador la semana pasada y que ralentiza seriamente la carga de páginas.

Skype Toolbar, una extensión de Firefox que se presenta con la popular aplicación de llamadas telefónicas, ha sido añadida a la lista de Mozilla de add-ons prohibidos, han publicado en post desde la compañía.

“La actual versión de Skype Toolbar es una de las que más problemas han causado en Firefox 3.6.13 y ha estado implicada en casi 40.000 caídas de Firefox durante la semana pasada”, han declarado desde Mozilla. “Además, dependiendo de la versión que se esté usando de Skype Toolbar, los métodos que usa para detectar y hacer volver a los números de teléfono puede… afectar drásticamente a los tiempos de renderización de la página de un gran porcentaje de contenidos web”.

Los usuarios de Firefox pueden seguir utilizando Skype Toolbar, puesto que Mozilla sólo la ha bloqueado “levemente”, lo que significa que aunque ha deshabilitado el add-on, los usuarios pueden rehabilitar la extensión tras hacer clic en un mensaje de aviso.

Mozilla, en cualquier caso, está considerando bloquear “severamente” al add-on, según un mensaje publicado en Bugzilla, la base de datos de problemas de la compañía. Si lo hiciera, eso supondría la prohibición completa de Toolbar.

Skype Toolbar detecta números de teléfonos embebidos en páginas Web, luego hace que se pueda hacer clic en esos números, de modo que los usuarios puedan llamarlos más fácilmente con el programa de sobremesa de Skype. Este add-on se instala por defecto cuando la versión de sobremesa del software de voz sobre IP se instala en el equipo o se actualiza.

Mozilla ha declarado que ha tenido problemas a la hora de localizar desarrolladores de extensiones de Skype y que también ha sido un motivo para bloquear el add-on. “En las últimas dos semanas, hemos doblado nuestros esfuerzos para contactar con el equipo de extensiones de Skype y mucha gente de Skype nos ha dicho que contactarían con el equipo de extensiones por nosotros”, ha explicado Justin Scott, responsable de productos add-on de Mozilla. “Pero no hemos recibido respuesta de ellos”.

Por su parte, desde Skype no han querido hacer comentarios al respecto.

fuente: idg.es

Según Eset, cada día aumentan las vulnerabilidades que afectan a los dispositivos que incorporanh los sistemas operativos para móviles Androd e iOS; una de las vulnerabilidades que se ha detectado en los últimos días afecta a los dispositivos que incorporan Android 2.0 y 2.1. “La versión más reciente de Android (2.2) no es vulnerable a este tipo de ataques”. A grandes rasgos “el código publicado se aprovecha de una vulnerabilidad ya existente en uno de los componentes (WebKit) de varios navegadores de Internet. El navegador que incluye el sistema operativo Android también es vulnerable y se puede generar un exploit que se active cuando el usuario visite una web maliciosa diseñada para aprovecharse de esta vulnerabilidad”.

En cuanto a la otra vulnerabilidad, Eset destaca que “de ser aprovechada pueden llegar a instalar aplicaciones maliciosas en el dispositivo sin consentimiento del usuario. Estos agujeros de seguridad se encuentran en el navegador y no en el kernel del sistema, lo que las hace diferentes a las descubiertas hasta el momento”.

Pero no solo Android es víctima de las vulnerabilidades. El sistema operativo de Apple también ha visto como los investigadores han descubierto “un fallo en el manejo de esquemas de direcciones por parte del navegador Safari. Este manejo incorrecto permite la realización de llamadas telefónicas mostrando un simple aviso si se visita un enlace especialmente preparado. La situación es más grave si en nuestro iPhone tenemos instalado Skype puesto que, de ser así, la llamada se iniciará sin mostrar ninguna ventana de confirmaciónA pesar de ser Skype el ejemplo más claro, existen otras aplicaciones que también pueden sufrir este fallo”.

fuente: csospain.es