Trois failles dans Skype, mises à jour disponibles
Allo maman boboooooooooo
Plusieurs failles de sécurité ont été découvertes dans Skype hier par des chercheurs de deux sociétés de sécurité. Les bogues frappent aussi bien les versions Linux, Mac ou Windows et Pocket PC. Les modes d’attaques sont variables mais le niveau global a été fixé à « hautement critique » par Secunia.
L’une de ces failles concerne les fonctions callto:// et Skype://, qui peut être exploitée pour permettre l’exécution de code arbitraire. Cela résulte, comme classiquement, d’un débordement de mémoire tampon. L’exploit se fait à l’aide d’une simple adresse sur laquelle l’usager est invité à cliquer… Une autre concerne l’importation des fiches d’adresses Vcard qui, là encore, peut engendrer un buffer overflow. Ces deux failles ont été vérifiées sous Windows avec certaines versions 1.x de Skype (les plus curieux consulteront cette page dédiée à ces deux problèmes)
La troisième faille concerne toujours un débordement mais cette fois dans la manipulation des données échangées par les clients Skype. Elle permet d’engendrer un crash du client Skype. Cette fois, tous les systèmes sont touchés et il est donc recommandé de mettre à jour son Skype via la page de téléchargement du site. Notons que la version PocketPC n'est pas encore patchée à ce jour. L'incident va en tout cas gonfler (artificiellement) les chiffres de téléchargement qui taquinent à ce jour les 188 millions d'unités.
(Merci à Jerome A.!)
L’une de ces failles concerne les fonctions callto:// et Skype://, qui peut être exploitée pour permettre l’exécution de code arbitraire. Cela résulte, comme classiquement, d’un débordement de mémoire tampon. L’exploit se fait à l’aide d’une simple adresse sur laquelle l’usager est invité à cliquer… Une autre concerne l’importation des fiches d’adresses Vcard qui, là encore, peut engendrer un buffer overflow. Ces deux failles ont été vérifiées sous Windows avec certaines versions 1.x de Skype (les plus curieux consulteront cette page dédiée à ces deux problèmes)La troisième faille concerne toujours un débordement mais cette fois dans la manipulation des données échangées par les clients Skype. Elle permet d’engendrer un crash du client Skype. Cette fois, tous les systèmes sont touchés et il est donc recommandé de mettre à jour son Skype via la page de téléchargement du site. Notons que la version PocketPC n'est pas encore patchée à ce jour. L'incident va en tout cas gonfler (artificiellement) les chiffres de téléchargement qui taquinent à ce jour les 188 millions d'unités.
(Merci à Jerome A.!)
Source :
Secunia
Marc Rees
le 26 octobre 2005 à 10:12
(11 032
lectures)
Actualités et brèves relatives
- 20 / 10 / 2005 : Achat de Skype : eBay s'explique
- 18 / 10 / 2005 : Un cheval de Troie en guise de mise à jour Skype
- 11 / 10 / 2005 : eBay s'offre le système de paiement sécurisé de Verisign
- 29 / 09 / 2005 : Skype 1.4 est de sortie
- 27 / 09 / 2005 : Skype, viré des universités françaises
- 21 / 09 / 2005 : IPdrum : téléphoner sur Skype depuis son portable
- 15 / 09 / 2005 : Skype, l'enchère de trop d'eBay ?
- 12 / 09 / 2005 : eBay achète un baril de Skype pour 4,1 milliards de dollars
