Un ricercatore di sicurezza ha comunicato di aver trovato un bug grave nella versione per Mac di Skype, che potrebbe essere utilizzata da un attacker per assumere il controllo remoto del computer di qualcuno.

In risposta, Skype ha rilasciato un “hotfix” – una soluzione rapida per tenere gli utenti più sicuri fino a quando un aggiornamento completo non è  pronto -  un aggiornamento minore è stato fatto a metà aprile, ma non richiede agli utenti di aggiornare i propri software perché non ci sono motivi che il bug venga sfruttato ed era in programma di rilasciare un nuovo aggiornamento all’inizio della prossima settimana.

Gordon Maddern, di Pure Hacking in Australia, dice di aver scoperto la vulnerabilità circa un mese fa. Egli stava chiacchierando su Skype con un collega su un payload quando questo codice è stato eseguito nel client Skype del collega accidentalmente ha scoperto questa possibilità e scoperto quindi il bug.

Ha creato un proof of concept che può essere utilizzato in un attacco, ma non rilascia dettagli precisi fino a che Skype risolve il problema. Non è riuscito a trovare la vulnerabilità nel client di Skype per Windows e Linux.

Maddern ha detto che ha contattato Skype e ha ricevuto una nota che diceva: “Grazie per aver mostrato un interesse per la sicurezza di Skype, siamo consapevoli di questo problema e lo affronteremo nel prossimo aggiornamento”.

“E ‘stato più di un mese fa e ancora non è stata rilasciata una correzione”, ha scritto nel suo blog. “La cosa più grave è che un attaccante deve solo inviare alla vittima un messaggio e che può ottenere il controllo remoto del Mac della vittima. E ‘estremamente automatizabile e pericoloso.”

In un post sul blog, Adrian Asher di Skype spiega che la vulnerabilità è legata a una situazione in cui un contatto “maligno” dovrebbe inviare un messaggio appositamente predisposto in grado di causare il crash di Skype per Mac. Questo messaggio dovrebbe provenire da qualcuno già nella tua lista dei contatti Skype, come impostazioni di default di privacy Skype non ti consente di ricevere messaggi da persone che non avete già autorizzato, da cui il termine “maligno” contatto “.

“Nel momento in cui ci hanno segnalato il bug, dice Asher, eravamo già a conoscenza del problema e stiamo lavorando su una correzione per proteggere gli utenti Skype da questa vulnerabilità, noi abbiamo a cuore la sicurezza dei nostri utenti ‘molto seriamente”, ha scritto Asher.

Skype sta rilasciando nella versione 5.1.0.922 un fix del problema che sarà disponibile la prossima settimana, ma l’update va fatto manualmente.