Plusieurs failles de sécurité ont été découvertes dans Skype hier par des chercheurs de deux sociétés de sécurité. Les bogues frappent aussi bien les versions Linux, Mac ou Windows et Pocket PC. Les modes d’attaques sont variables mais le niveau global a été fixé à « hautement critique » par Secunia.

L’une de ces failles concerne les fonctions callto:// et Skype://, qui peut être exploitée pour permettre l’exécution de code arbitraire. Cela résulte, comme classiquement, d’un débordement de mémoire tampon. L’exploit se fait à l’aide d’une simple adresse sur laquelle l’usager est invité à cliquer… Une autre concerne l’importation des fiches d’adresses Vcard qui, là encore, peut engendrer un buffer overflow. Ces deux failles ont été vérifiées sous Windows avec certaines versions 1.x de Skype (les plus curieux consulteront cette page dédiée à ces deux problèmes)

La troisième faille concerne toujours un débordement mais cette fois dans la manipulation des données échangées par les clients Skype. Elle permet d’engendrer un crash du client Skype. Cette fois, tous les systèmes sont touchés et il est donc recommandé de mettre à jour son Skype via la page de téléchargement du site. Notons que la version PocketPC n'est pas encore patchée à ce jour. L'incident va en tout cas gonfler (artificiellement) les chiffres de téléchargement qui taquinent à ce jour les 188 millions d'unités.

(Merci à Jerome A.!)