Skype et DailyMotion unis dans une même faille de sécurité

Encore et toujours de l'injection de script 32
marc skypeUne faille plutôt sérieuse a été trouvée dans le logiciel de VoIP (Voice over IP) Skype, propriété d’eBay. La brèche concerne l’interprétation du code HTML au sein même de l’application sous Windows.

Sur le système d’exploitation de Microsoft, Skype utilise le moteur de rendu HTML d’Internet Explorer pour afficher du contenu web, via un composant spécifique. C’est notamment le cas lorsque le logiciel présente certaines fonctions comme « Envoyer de l’argent via PayPal » ou encore « Ajouter de la vidéo à la discussion ».

L’utilisation du moteur d’Internet Explorer n’est en elle-même pas le problème, mais les règles qui s’appliquent à cette utilisation ne sont pas assez strictes. Les pages HTML sont lancées en zone locale, mais pas en mode verrouillé. Dans la pratique, un utilisateur malintentionné peut utiliser la fonction « Ajouter de la vidéo à la discussion » pour poster un lien qui contient un script.

Une vidéo de présentation de l’exploitation de la faille circule sur YouTube :

 

Un utilisateur y fait la démonstration d’un lien contenant du script qui provoque l’ouverture de l’application Calculatrice . Une faille que les développeurs de Skype ont d’ailleurs confirmée, en précisant que toutes les versions 3.5 et 3.6 étaient concernées.

Selon l’éditeur, la faille ne toucherait que les vidéos présentes sur DailyMotion. Les administrateurs de ce dernier chercheraient actuellement à corriger le problème de leur côté, car le « pirate » éventuel peut nommer une vidéo de manière à exploiter la brèche. En attendant, la possibilité d’utiliser du contenu vidéo dans le logiciel est pour le moment désactivée, pour éviter toute utilisation malveillante du problème.
Publiée le 21/01/2008 à 12:04 - Source : Skype
Publicité