Aviv Raff, chercheur en sécurité informatique, a révélé l’existence d’une vulnérabilité critique affectant les récentes versions de Skype pour Windows (3.5.* et 3.5.*), utilisées dans le cadre d’un partage de vidéos. Une fonctionnalité intégrée dans le logiciel et offerte grâce à accord de diffusion signé avec plusieurs acteurs du domaine, dont le français Dailymotion. Ladite vulnérabilité a été confirmée par Skype.

Pour afficher du contenu Web, Skype utilise sous Windows via un contrôle spécifique, le moteur de rendu HTML du navigateur de Microsoft, Internet Exporer. C’est notamment le cas pour ajouter de la vidéo à la conversation (fonctionnalité add video to chat). Cette opération s’effectue dans le contexte de sécurité Zone Locale d’Internet Explorer, un mode non sécurisé qui autorise l’exécution de scripts. De fait, Skype hérite à ce niveau de tous les problèmes de sécurité liés au Web, et est donc potentiellement vulnérable aux attaques de type XSS. Là où le bât blesse, c’est que Dailymotion (site de confiance) souffre justement d’une telle vulnérabilité.

Petit clip à l’appui, Aviv Raff en fait la démonstration en provoquant sous Windows Vista, l’exécution de la calculatrice suite à la recherche (sous Skype) d’une vidéo Dailymotion avec les mots clés calc test (tags de la vidéo). Le code qui aurait pu être bien plus malveillant est en réalité contenu dans le titre de la vidéo. En résumé, un attaquant distant peut donc injecter et exécuter du code malicieux dans le contexte de sécurité de la Zone Locale d’Internet Explorer.

En attendant la publication d’un correctif, Skype a pris la sage décision de tout simplement désactiver temporairement la fonctionnalité d’ajout de vidéos offerte avec son logiciel de VoIP.