Une faille de risque "moyen" dans Skype
Skype, my husband !!!!!!
Voilà qui risque de favoriser la migration vers la plus récente version du logiciel : un bug a été déniché dans Skype, sous Windows. Il permet à un attaquant distant de télécharger un fichier depuis le PC affecté, sans aucune permission. Un bug classé par l’éditeur, propriété d’eBay, comme étant de « risque moyen ».
L’attaque se fait via les URL maison qui, spécialement formées, permettent ainsi de transférer un fichier d’un usager Skype vers un autre. Nul besoin de crier au loup trop fort : la migration de ce fichier accidentellement voyageur se fait avec l’affichage de la fenêtre de transfert habituelle de fichiers. Une alerte qui rend quelque peu plus hasardeuse les attaques d'autant qu'un clic sur « Cancel » stoppe la transmission. Autre restriction à une exploitation de masse, la nécessité pour l’attaquant de connaître l’emplacement exact du ficher et d'être devant son PC pour accepter le transfert de son côté.
Toutes les versions 2.0.*.104 et la 2.5.*.0 (2.5.*.78 incluse) sont impactées. Il suffira ainsi de faire la mise à jour vers la version Skype 2.5, release 2.5.*.79 ou au-delà, ou Skype 2.0, release 2.0.*.105 ou ultérieure, qui toutes les deux, corrigent ce bug de l’Uniform Resource Identifier.
L’attaque se fait via les URL maison qui, spécialement formées, permettent ainsi de transférer un fichier d’un usager Skype vers un autre. Nul besoin de crier au loup trop fort : la migration de ce fichier accidentellement voyageur se fait avec l’affichage de la fenêtre de transfert habituelle de fichiers. Une alerte qui rend quelque peu plus hasardeuse les attaques d'autant qu'un clic sur « Cancel » stoppe la transmission. Autre restriction à une exploitation de masse, la nécessité pour l’attaquant de connaître l’emplacement exact du ficher et d'être devant son PC pour accepter le transfert de son côté.
Toutes les versions 2.0.*.104 et la 2.5.*.0 (2.5.*.78 incluse) sont impactées. Il suffira ainsi de faire la mise à jour vers la version Skype 2.5, release 2.5.*.79 ou au-delà, ou Skype 2.0, release 2.0.*.105 ou ultérieure, qui toutes les deux, corrigent ce bug de l’Uniform Resource Identifier.
Marc Rees
le 23 mai 2006 à 08:20
(7 677
lectures)
Actualités et brèves relatives
- 19 / 05 / 2006 : Wengo 2.0b : interopérabilité et visophonie multiplateforme
- 17 / 05 / 2006 : Free active la fonctionnalité SIP pour la VoIP
- 16 / 05 / 2006 : Skype : appels nationaux gratuits aux Etats-Unis et au Canada
- 09 / 05 / 2006 : AIM propose un numéro de téléphone gratuit aux USA
- 04 / 05 / 2006 : Skype, v.2.5 et Skypecast, conférence à 100 personnes
- 25 / 04 / 2006 : Wigi VWHO : 9 personnes en vidéo conférence Skype
- 19 / 04 / 2006 : Skype se soumet volontiers à la censure chinoise
- 07 / 03 / 2006 : Un réseau Wi-Fi mesh à Villeneuve-Tolosane
