Aviv Raff, un chercheur israélien spécialisté dans les vulnérabilités, a récemment décelé une nouvelle faille de sécurité dans Skype. Selon un message posté le 17 janvier 2008, le logiciel de voix/messagerie sur IP pourrait servir de vecteur à une personne malintentionnée pour prendre le contrôle à distance du PC affecté. Le simple affichage d’une page Web suffit à exploiter la vulnérabilité qualifiée de type cross-zone scripting.
Selon le chercheur, cette vulnérabilité s’explique par le fait que Skype s’appuie sur le moteur de rendu HTML de Microsoft Internet Explorer pour afficher les contenus Web. Car l’utilisation du moteur de rendu s’effectue dans le mode Zone Locale du navigateur au lieu du mode Zone Internet, qui plus est en mode non sécurisé. Un mode également utilisé par AOL avec son client de messagerie instantanée AIM, fait au passage remarquer Aviv Raff.
Ce mode local non sécurisé autorise l’exécution de scripts. Lesquels peuvent être lancés à travers l’affichage d’une simple page HTML infectieuse. « Cela signifie schématiquement qu’un attaquant peut transférer un film [sur une plate-forme de diffusion vidéo, ndlr], y attacher un ensemble de mots-clés populaires (comme « Paris Hilton »), et attraper les utilisateurs qui vont chercher une vidéo à partir de ces mots-clés sous Skype« , témoigne le chercheur en sécurité qui, pour mémoire, avait révélé la première faille du navigateur d’Apple Safari quelques heures après sa sortie.
Ne plus chercher de vidéo avec Skype
Pour illustrer son propos, l’expert a créé une « preuve de faisabilité » dans laquelle il exécute la calculatrice de Windows Vista rien qu’en tapant « calc test » dans la boîte de dialogue d’ajout de vidéo (bouton « Add video to chat ») de Skype à partir de la plate-forme Dailymotion. Comme l’illustre la démonstration en vidéo sur son blog.
Si la vulnérabilité affecte la dernière version de l’application, la v3.6.0.244, le chercheur prévient que les versions antérieures pourraient également être concernées. « En attendant que la vulnérabilité soit corrigée, je recommande d’éviter de chercher des vidéos dans Skype« , ajoute Aviv Raff. Du moins sur la plate-forme Windows.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…