Aviv Raff, un chercheur israélien spécialisté dans les vulnérabilités, a récemment décelé une nouvelle faille de sécurité dans Skype. Selon un message posté le 17 janvier 2008, le logiciel de voix/messagerie sur IP pourrait servir de vecteur à une personne malintentionnée pour prendre le contrôle à distance du PC affecté. Le simple affichage d’une page Web suffit à exploiter la vulnérabilité qualifiée de type cross-zone scripting.
Selon le chercheur, cette vulnérabilité s’explique par le fait que Skype s’appuie sur le moteur de rendu HTML de Microsoft Internet Explorer pour afficher les contenus Web. Car l’utilisation du moteur de rendu s’effectue dans le mode Zone Locale du navigateur au lieu du mode Zone Internet, qui plus est en mode non sécurisé. Un mode également utilisé par AOL avec son client de messagerie instantanée AIM, fait au passage remarquer Aviv Raff.
Ce mode local non sécurisé autorise l’exécution de scripts. Lesquels peuvent être lancés à travers l’affichage d’une simple page HTML infectieuse. « Cela signifie schématiquement qu’un attaquant peut transférer un film [sur une plate-forme de diffusion vidéo, ndlr], y attacher un ensemble de mots-clés populaires (comme « Paris Hilton »), et attraper les utilisateurs qui vont chercher une vidéo à partir de ces mots-clés sous Skype« , témoigne le chercheur en sécurité qui, pour mémoire, avait révélé la première faille du navigateur d’Apple Safari quelques heures après sa sortie.
Ne plus chercher de vidéo avec Skype
Pour illustrer son propos, l’expert a créé une « preuve de faisabilité » dans laquelle il exécute la calculatrice de Windows Vista rien qu’en tapant « calc test » dans la boîte de dialogue d’ajout de vidéo (bouton « Add video to chat ») de Skype à partir de la plate-forme Dailymotion. Comme l’illustre la démonstration en vidéo sur son blog.
Si la vulnérabilité affecte la dernière version de l’application, la v3.6.0.244, le chercheur prévient que les versions antérieures pourraient également être concernées. « En attendant que la vulnérabilité soit corrigée, je recommande d’éviter de chercher des vidéos dans Skype« , ajoute Aviv Raff. Du moins sur la plate-forme Windows.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…