El software Skype con su instalación por defecto es vulnerable a un ataque de elevación de privilegios que podría permitir a un atacante local sin privilegios ejecutar código arbitrario con privilegios de SYSTEM en entornos de sistemas operativos Windows.

Skype es un software gratuito que permite realizar llamadas mediante voIP, videoconferencias, enviar mensajes instantáneos y compartir archivos desde un ordenador personal, smartphone, tablet o videoconsola entre otros dispositivos. 

 
Existe un error en la aplicación ‘Click to Call’ de Skype (c2c_service.exe) al no restringir correctamente las rutas de búsqueda para las librerías DLL que utiliza. Además el directorio donde se encuentra esta aplicación dispone de permisos de escritura para cualquier usuario. Para Windows XP el directorio donde se instala ‘Click to Call’ es ‘C:Documents and SettingsAll UsersApplication DataSkypeToolbarsSkype C2C Service’, mientras que para Windows 7 es ‘C:ProgramDataSkypeToolbarsSkype C2C Service’. 
 
Un atacante local sin privilegios podría aprovechar lo anterior para realizar un DLL Hijacking y conseguir ejecutar código arbitrario a través de un archivo DLL especialmente manipulado que sea cargado por ‘Click to Call’ (por ejemplo ‘msi.dll’) desde su propio directorio. 
 
Debido a que ‘c2c_service.exe’ se ejecuta como un servicio con privilegios SYSTEM en los sistemas operativos Microsoft Windows, la ejecución arbitraria de código se haría con dichos permisos. 
 
Para aprovechar la vulnerabilidad es necesario reiniciar el servicio ‘c2c_service.exe’ o el equipo. 
 
La última versión publicada de Skype para Windows soluciona esta vulnerabilidad. Esta disponible para su descarga desde la página oficial. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/03/elevacion-de-privilegios-traves-de.html#comments
 
Más información:
 
Skype Click to Call Update Service local privilege escalation
http://seclists.org/bugtraq/2013/Mar/94

Fuente:
Juan José Ruiz
jruiz@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar