Un autre jour, une autre frayeur de sécurité. Cette fois, c’est la dernière version de Skype qui est sur la ligne de mire après qu’un chercheur en sécurité a découvert qu’elle pouvait être compromise. La faille dans le client de téléphonie P2P signifie que le code n'aer-do-well peut être exécuté via Skype.

L'application utilise Internet Explorer pour afficher des fonctionnalités telles que la page "Ajouter une vidéo à une discussion en ligne". Le problème est que cela se produit dans le paramètre de sécurité Internet «Zone locale», ce qui signifie que le système n'est pas correctement verrouillé. Un problème peut survenir, par exemple, si une vidéo est infectée par un code malveillant, puis visionnée via la fonction de recherche vidéo Skype..

Vulnérabilité Cross-Zone Scripting

Cependant, bien que Skype corrige le code, il faudra plusieurs rouages ​​pour que l'exécution puisse avoir lieu. Un site Web de confiance chevauchant des zones de sécurité devrait être compromis et affiché dans le navigateur..

Selon l'expert en sécurité Aviv Raff, cette vulnérabilité devrait être qualifiée de vulnérabilité de script inter-zones, car le script s'exécute dans la zone locale d'IE plutôt que dans la zone Internet. Il a posté une vidéo de validation de concept sur son blog..

Skype v.3.6.0.244 est la version affectée, bien que l'on ne sache pas si la vulnérabilité touche davantage.