Deux failles critiques frappent Skype
Plus de 180 millions de ‘skypers’ seraient vulnérables à au moins une des deux failles récemment découvertes dans le logiciel de voix sur IP. L’une permettrait de causer un déni de service sur l’application, l’autre, bien plus dangereuse offrirait à un éventuel pirate la possibilité d’exécuter des commandes arbitraires sur les systèmes Microsoft Windows
Quelques jours après que Nortel ait tiré la sonnette d’alarme à propos des risques de sécurité autour de la VoIP (voir notre article), on apprend que le célèbre Skype souffre de deux failles bien inquiétantes.
La première vulnérabilité affecte toutes les versions de Skype sur l’ensemble des plateformes disponibles. Le défaut concerne un bug dans une routine réseau. Une exploitation réussie de la faille permettrait de causer un déni de service rendant l’utilisation de Skype impossible. Le logiciel doit alors être redémarré afin de pouvoir être de nouveau opérationnel. Le deuxième problème de sécurité n’affecte que les utilisateurs de Microsoft Windows et concerne les URI spécifiques à Skype : ‘callto:// » et « skype://’. La longueur de la chaîne passée en argument à ces deux URI n’est pas vérifiée par Skype. Un dépassement de mémoire tampon est alors réalisable. L’exécution de code arbitraire sur la machine n’est plus qu’une formalité. Cette faille représente un réel danger pour les utilisateurs de Skype, particuliers ou en entreprise. L’éditeur de Skype a d’ores et déjà corrigé les vulnérabilités, une nouvelle version du logiciel est disponible. Il s’agit de la version 1.4.*.84. La mise à jour est de rigueur ! Aurélien Cabezon pour Vulnerabilite.com.
