Pour gérer vos consentements :
Categories: Cloud

Skype victime d’une vulnérabilité vidéo

Aviv Raff, un chercheur israélien spécialisté dans les vulnérabilités, a récemment décelé une nouvelle faille de sécurité dans Skype. Selon un message posté le 17 janvier 2008, le logiciel de voix/messagerie sur IP pourrait servir de vecteur à une personne malintentionnée pour prendre le contrôle à distance du PC affecté. Le simple affichage d’une page Web suffit à exploiter la vulnérabilité qualifiée de type cross-zone scripting.

Selon le chercheur, cette vulnérabilité s’explique par le fait que Skype s’appuie sur le moteur de rendu HTML de Microsoft Internet Explorer pour afficher les contenus Web. Car l’utilisation du moteur de rendu s’effectue dans le mode Zone Locale du navigateur au lieu du mode Zone Internet, qui plus est en mode non sécurisé. Un mode également utilisé par AOL avec son client de messagerie instantanée AIM, fait au passage remarquer Aviv Raff.

Ce mode local non sécurisé autorise l’exécution de scripts. Lesquels peuvent être lancés à travers l’affichage d’une simple page HTML infectieuse. « Cela signifie schématiquement qu’un attaquant peut transférer un film [sur une plate-forme de diffusion vidéo, ndlr], y attacher un ensemble de mots-clés populaires (comme « Paris Hilton »), et attraper les utilisateurs qui vont chercher une vidéo à partir de ces mots-clés sous Skype« , témoigne le chercheur en sécurité qui, pour mémoire, avait révélé la première faille du navigateur d’Apple Safari quelques heures après sa sortie.

Ne plus chercher de vidéo avec Skype

Pour illustrer son propos, l’expert a créé une « preuve de faisabilité » dans laquelle il exécute la calculatrice de Windows Vista rien qu’en tapant « calc test » dans la boîte de dialogue d’ajout de vidéo (bouton « Add video to chat ») de Skype à partir de la plate-forme Dailymotion. Comme l’illustre la démonstration en vidéo sur son blog.

Si la vulnérabilité affecte la dernière version de l’application, la v3.6.0.244, le chercheur prévient que les versions antérieures pourraient également être concernées. « En attendant que la vulnérabilité soit corrigée, je recommande d’éviter de chercher des vidéos dans Skype« , ajoute Aviv Raff. Du moins sur la plate-forme Windows.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago