Skype corrige un bug critique

La Rédaction,

Le trublion de la VoIP annonce la publication d’un correctif pour une faille jugée critique nommée Cross-Zone Scripting bug

Selon les informations communiquées plutôt discrètement par l’éditeur, cette vulnérabilité, découverte il y a trois semaines par le chercheur émérite Aviv Raff, pouvait être exploitée par des cybercriminels en lançant l’exécution d’un code Javascript malveillant sur des machines Windows.

D’après une note publiée par Raff à la mi-janvier, seules les versions 3.5 et 3.6 pour Windows étaient concernées. Dans les faits, des hackers malveillants pouvaient exploiter une erreur de type Cross-Zone Scripting lors de l’ajout d’une vidéo combinée à une vulnérabilité d’un site de partage de vidéo partenaire de Skype, comme Dailymotion ou Metacafe.

Ce qui permettait à un individu malveillant ou à un virus d’exécuter du code malveillant par le biais d’une page Web piégée.

« Les utilisateurs sont piégés très simplement par un faux lien renvoyant vers un site contenant du code malveillant qui est placé dans la fenêtre de discussion la messagerie instantanée. Ce qui signifie que cette vulnérabilité peut être exploitée à grande échelle, et se répliquer très facilement »expliquait Raff dans une note détaillant sa découverte.

Des chercheurs indépendants ont publié des POC (proof of concept) ce qui a obligé Skype a préparer rapidement un correctif.

Mais les problèmes sont loin d’être terminés pour Skype, puisque Raff a découvert d’autres failles dans le logiciel de VoIP. Ce dernier bug concerne la commande SkypeFind qui permet aux utilisateurs de passer en revue des entreprises et de les noter.

Pour Raff, un hacker pourrait parfaitement concevoir une note sur une entreprise contenant un code malveillant, et la placer dans SkypeFind. Toutes les personnes qui auraient le malheur d’ouvrir ce document piégé se retrouveraient avec une machine piratée.

Le chercheur ajoute que ces failles cross zone script, peuvent être corrigées très simplement en modifiant la valeur d’une clé du registre. Et c’est justement ce qu’a fait Skype en publiant ce correctif qui change les paramètres d’IE, le navigateur par défaut utilisé par le logiciel. Concrètement, IE passe en mode de sécurité Internet Zone et non plus Local Zone.

Les utilisateurs peuvent corriger ces vulnérabilités en téléchargeant la version 3.6.0.248 de Skype pour Windows.