O pesquisador de segurança Benjamin Kunz Mejri alertou descobriu uma vulnerabilidade no Skype que pode permitir a execução remota de códigos maliciosos no PC do usuário.
Vulnerabilidade no Skype
De acordo com o pesquisador, que trabalha para o Vulnerability Lab, a falha CVE-2017-9948 é do tipo buffer overflow e afeta as versões 7.2, 7.35 e 7.36 do Skype.
Com classificação 7.2, a vulnerabilidade é considerada como sendo perigosa já que permite que atacantes a explorem remotamente para travar o software, sobrescrever os registros do processo ativo e executar códigos maliciosos no PC do usuário.
O problema está presente na forma como o Skype usa o arquivo MSFTEDIT.DLL para lidar com requisições de cópia no PC.
A vulnerabilidade no Skype foi testada copiando e colando um arquivo de imagem especialmente criado na caixa de mensagens do software.
Quando a imagem foi detectada na área de transferência dos dois PCs e transferida, o buffer overflow ocorre causando os erros no software que podem ser explorados pelo atacante.
A vulnerabilidade pode ser explorada remotamente e localmente. Outro detalhe é que ela pode ser explorada mesmo em contas de usuário sem privilégios administrativos.
A empresa notificou a Microsoft sobre a vulnerabilidade em 16 de maio, que disponibilizou uma correção no dia 8 de junho.
Versões recentes como a 7.37.0.103 já trazem a correção:
