La vulnérabilité, dévoilée jeudi dernier par le chercheur en sécurité Aviv Raff, est liée à la façon dont le logiciel utilise Windows Internet Explorer pour retranscrire du code HTML, ce qui est également utilisé pour la fonction " Add video to a chat " du client VoIP. Selon PCWorld, puisque le groupe Skype, filiale d'eBay, n'applique pas des contrôles de sécurité stricts, une personne malintentionnée pourrait exécuter du code sur un ordinateur et au final installer un logiciel malveillant.
Le problème vient plus précisément du fait que Skype utilise ce composant IE avec un bas niveau de sécurité ( zone locale ). Ces cyber-fraudeurs sont capables de faire " toutes sortes de choses...comme écrire/lire des fichiers à partir d'un disque local et lancer des exécutables ", a écrit Petko Petkov, chercheur en sécurité. Pour que l'attaque fonctionne, ils auraient d'abord besoin d'une vulnérabilité de type cross-scripting, comme celle présente sur DailyMotion. Cette faille permettrait de forcer Skype à lancer un script malveillant, en lui faisant croire qu'il ne l'est pas puisqu'il vient d'un site fiable.
Ainsi, dans une vidéo postée sur son blogue, Raff montre comment ce genre de faille pourrait être exploitée sur DailyMotion pour lancer le tableur de Windows en utilisant la fonctionnalité vidéo de Skype. Regarder les vidéos de la plate-forme via la fenêtre de chat de Skype entraînerait donc un risque. De même, des personnes malintentionnées pourraient spammer le site Web de messages publicitaires destinés à faire tomber dans le panneau d'autres internautes et véroler leurs ordinateurs.
Cette faille affecte la dernière version 3.6.0.244 de Skype et les branches 3.5 / 3.6, a indiqué Raff, tandis que de précédentes moutures pourraient également être concernées. " Jusqu'à ce que les développeurs de Skype règlent le problème, je vous recommande de ne plus rechercher de vidéos par le biais du logiciel ", a t-il conclu. Pour l'heure, la fonctionnalité incriminée a été mise hors d'état de nuire par l'équipe Skype.
Le problème vient plus précisément du fait que Skype utilise ce composant IE avec un bas niveau de sécurité ( zone locale ). Ces cyber-fraudeurs sont capables de faire " toutes sortes de choses...comme écrire/lire des fichiers à partir d'un disque local et lancer des exécutables ", a écrit Petko Petkov, chercheur en sécurité. Pour que l'attaque fonctionne, ils auraient d'abord besoin d'une vulnérabilité de type cross-scripting, comme celle présente sur DailyMotion. Cette faille permettrait de forcer Skype à lancer un script malveillant, en lui faisant croire qu'il ne l'est pas puisqu'il vient d'un site fiable.
Ainsi, dans une vidéo postée sur son blogue, Raff montre comment ce genre de faille pourrait être exploitée sur DailyMotion pour lancer le tableur de Windows en utilisant la fonctionnalité vidéo de Skype. Regarder les vidéos de la plate-forme via la fenêtre de chat de Skype entraînerait donc un risque. De même, des personnes malintentionnées pourraient spammer le site Web de messages publicitaires destinés à faire tomber dans le panneau d'autres internautes et véroler leurs ordinateurs.
Cette faille affecte la dernière version 3.6.0.244 de Skype et les branches 3.5 / 3.6, a indiqué Raff, tandis que de précédentes moutures pourraient également être concernées. " Jusqu'à ce que les développeurs de Skype règlent le problème, je vous recommande de ne plus rechercher de vidéos par le biais du logiciel ", a t-il conclu. Pour l'heure, la fonctionnalité incriminée a été mise hors d'état de nuire par l'équipe Skype.