Skype victime d’une vulnérabilité vidéo
Afficher des pages Web avec Skype peut se révéler dangereux, selon un spécialiste de la sécurité IT.
Aviv Raff, un chercheur israélien spécialisté dans les vulnérabilités, a récemment décelé une nouvelle faille de sécurité dans Skype. Selon un message posté le 17 janvier 2008, le logiciel de voix/messagerie sur IP pourrait servir de vecteur à une personne malintentionnée pour prendre le contrôle à distance du PC affecté. Le simple affichage d’une page Web suffit à exploiter la vulnérabilité qualifiée de type cross-zone scripting.
Selon le chercheur, cette vulnérabilité s’explique par le fait que Skype s’appuie sur le moteur de rendu HTML de Microsoft Internet Explorer pour afficher les contenus Web. Car l’utilisation du moteur de rendu s’effectue dans le mode Zone Locale du navigateur au lieu du mode Zone Internet, qui plus est en mode non sécurisé. Un mode également utilisé par AOL avec son client de messagerie instantanée AIM, fait au passage remarquer Aviv Raff.
Ce mode local non sécurisé autorise l’exécution de scripts. Lesquels peuvent être lancés à travers l’affichage d’une simple page HTML infectieuse. « Cela signifie schématiquement qu’un attaquant peut transférer un film [sur une plate-forme de diffusion vidéo, ndlr], y attacher un ensemble de mots-clés populaires (comme « Paris Hilton »), et attraper les utilisateurs qui vont chercher une vidéo à partir de ces mots-clés sous Skype« , témoigne le chercheur en sécurité qui, pour mémoire, avait révélé la première faille du navigateur d’Apple Safari quelques heures après sa sortie.
Ne plus chercher de vidéo avec Skype
Pour illustrer son propos, l’expert a créé une « preuve de faisabilité » dans laquelle il exécute la calculatrice de Windows Vista rien qu’en tapant « calc test » dans la boîte de dialogue d’ajout de vidéo (bouton « Add video to chat ») de Skype à partir de la plate-forme Dailymotion. Comme l’illustre la démonstration en vidéo sur son blog.
Si la vulnérabilité affecte la dernière version de l’application, la v3.6.0.244, le chercheur prévient que les versions antérieures pourraient également être concernées. « En attendant que la vulnérabilité soit corrigée, je recommande d’éviter de chercher des vidéos dans Skype« , ajoute Aviv Raff. Du moins sur la plate-forme Windows.