Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Faille Skype et vol de données

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Faille Skype et vol de données

Une faille affectant le logiciel Skype vient d’être détectée par l’éditeur. Elle concerne la gestion des liens ‘skype:’ et permet de forcer un utilisateur l’envoi d’un fichier arbitraire à son insu. Une version corrigée est d’ores et déjà disponible.


Skype est souvent critiqué par les experts pour son manque de sécurité. La découverte de cette nouvelle faille risque de ne pas améliorer l’image du trublion des télécoms, notamment en entreprise.

La vulnérabilité a été découverte par l’éditeur, elle pourrait permettre le vol de données stockées dans un PC. Le risque est qualifié de ‘moyen’ car la procédure nécessite une interaction avec la victime et peut être annulée à tout instant par l’utilisateur.

L’exploitation de la faille est relativement simple. Sous couvert d’un lien internet Skype (envoyé par email ou placé dans une page HTML), censé lancer une communication, se dissimule en fait une URL piégée permettant de forcer le transfert d’un fichier vers un autre utilisateur du logiciel de VoIP.

Ce transfert se fait sans demande d’autorisation. En revanche, le destinataire desdits fichiers devra accepter ou non l’opération. Par ailleurs, lors du téléchargement, une fenêtre de dialogue s’ouvre sur le poste de la victime. Il est alors possible de stopper le transfert en cliquant sur le bouton ‘Cancel’.

Les versions Windows de Skype 2.0.0.104 et précédentes, et les dernières 2.5.0 à 2.5.0.78 sont impactées. L’éditeur propose d’ores et déjà des versions corrigées: Skype 2.0.0.105 ou Skype bêta 2.5.0.79.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.