Le chercheur en sécurité Stefan Kanthak indique sur son blog avoir récemment mis à jour une faille dans le système de mise à jour du logiciel de messagerie Skype. Il a fait le choix de publier la faille en question sur son site après avoir contacté Microsoft.
Bien que propriété de Microsoft, Skype ne passe pas par le protocole Windows Update pour procéder à ses mises à jour, mais a recours à son propre dispositif. Ce dispositif serait toutefois sensible à l'injection d'un DLL malveillant, il suffirait de renommer un fichier DLL contenant du code malveillant et de l'intégrer aux fichiers à pousser en mise à jour puisque le système ne vérifie pas l'authenticité des fichiers.
En clair, il serait possible d'autoriser l'élévation de privilèges et de permettre l'exécution de code malveillant à distance sur la machine ciblée, et d'organiser ainsi d'autres attaques qui concerneront le PC entier.
Malgré tout, la mise en place de l'attaque nécessite beaucoup d'efforts de la part des hackers. Il est nécessaire de disposer d'un accès physique à la machine cible ou d'y accéder via diverses manipulations complexes.
Microsoft a été avertie de la faille, mais a jugé qu'aucun correctif n'est prévu dans le cadre de mise à jour de sécurité. Selon Microsoft la résolution du problème nécessiterait beaucoup trop de travail aux développeurs et qu'elle serait corrigée automatiquement dans le cadre du déploiement d'un nouveau client de Skype.