• Tweet

Los recientes eventos de los dos grupos de serias vulnerabilidades de seguridad en Skype, el popular software de comunicación de VoIP, no pudo haber aparecido en peor momento para la empresa. La publicación de los errores de seguridad aparece después de que dieron a conocer sobre su modelo de seguridad.

En el primer caso, un bug de seguridad en Skype para Windows significa que el software puede ser alterado y forzado a ejecutar código arbitrario a través de un buffer overflow cuando se proporciona una URL malformada en un formato específico URI callto:// y skype://. Skype también puede ejecutar código arbitrario mediante la importación de una VCARD (formato de tarjeta de negocios electrónica) malformada.

La segunda vulnerabilidad de seguridad trata de un buffer overflow que no está restringido a Windows y afecta a las plaformas que soportan Skype. Se han publicado actualizaciones de seguridad para proteger de ambos errores.

Una serie de coincidencias desafortunadas.

El director de operaciones de seguridad en Skype, Kurt Sauer, admite que los errores -particularmente el error de la URL- era crítico. En el caso del error de Windows, fue una consecuencia de un error en un paquete de Delphi utilizado para realizar la interfase de usuario de Skype.

Skype actuó pronto acerca de los problemas de seguridad para generar las actualizaciones.

Una segunda opinión.

El fin de contratar a un investigador de seguridad externo era porque se quería detallar un marco de seguridad que guiara el trabajo de los desarrolladores de Skype. No se quería tener un contrato a largo plazo con grandes laboratorios que le costara demasiado dinero a la empresa. Lo que se quería era un consejo de una persona externa. Haber realizado una evaluación basada en un Common Criteria hubiera involucrado un gran comité de personas y un gran tiempo para realizarlo. Consideran no existe un esquema perfecto.

El reporte dado a conocer acerca de la seguridad de Skype se enfoca a la parte de criptografía, la cual ha sido evaluada y dice Sauer que ha sido un éxito. El reporte los ha ayudado para realizar los cambios acerca de las buenas prácticas de diseño. En cuanto a la revisión de código que no se realizó, es un aspecto que los ayudará a mejorar.