Sérieuse vulnérabilité dans Skype

Les équipes de l’éditeur Skype Technologies préviennent de la découverte d’une faille dans leur propre logiciel Skype: elle est jugée « hautement critique » par le site spécialisé Secunia. Rappelons que Skype est un très populaire logiciel de téléphonie sur Internet. L’application a été téléchargée près de 35 millions de fois et sera même intégrée à la prochaine version de Kazaa.

La vulnérabilité permettrait à un attaquant distant de compromettre un système vulnérable. Il pourrait exploiter ce problème via une page web malicieuse, afin d’exécuter des commandes arbitraires distantes. C’est la gestion des liens « callto : », utilisés par Skype pour déclencher une numérotation, qui présente un défaut: ils ne manipulent pas correctement les longs arguments (plus de 4.096 octets). Un lien piégé, placé sur un site Internet tiers ou envoyé par e-mail, suffirait à exécuter une commande arbitraire sur la machine de l’internaute qui le suivrait. La faille touche les versions 1.0.*.95 à 1.0.*.98 du logiciel. L’éditeur conseille de migrer immédiatement vers la version 1.0.0.100. D’après le site K-otik, la vulnérabilité, de type « Buffer Overflow » serait relativement simple à exploiter, d’où le caractère critique de la faille. En toute logique, la faille ne devrait pas être exploitable sur Microsoft Windows XP SP2 car le système a été équipé de protections contre ce genre d’agression. Cependant, il ne vaudrait mieux pas parier sur ce fait. Aurélien Cabezon pour Vulnerabilite.com