Risque
Contournement de la politique de sécurité.
Systèmes affectés
La vulnérabilité concerne les versions Skype fonctionnant sous Microsoft Windows. Les versions impactées sont :
- la version 2.0.*.104 et celles antérieures ;
- la verson 2.5.*.78 et celles antérieures.
Résumé
Une vulnérabilité a été identifiée dans Skype, pour certaines versions fonctionnant sous Microsoft Windows. Elle permet à un utilisateur distant malveillant de transférer des fichiers sans le consentement préalable de la personne qui aurait décidé d'utiliser Skype sur la machine ciblée.
Description
Une vulnérabilité a été identifiée dans Skype, pour certaines versions fonctionnant sous Microsoft Windows. Elle concerne le traitement des paramètres liés à l'analyse des adresses réticulaires (ou URI pour Uniform Resource Identifier). Une personne utilisant Skype peut se faire dérober des informations par un utilisateur distant : celui-ci doit contruire une adresse réticulaire malveillante exploitant la vulnérabilité précédente. Si l'utilisateur clique dessus, cela démarre l'envoi de fichiers depuis sa machine et à son insu. Cette attaque implique néanmoins que les deux parties soient préalablement d'accord pour communiquer (donc une fois la phase d'autorisation établie).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Référence CVE CVE-2006-2312 :
https://www.cve.org/CVERecord?id=CVE-2006-2312
- Mise à jour fournie par l'éditeur Skype :
http://www.skype.com/download/skype/windows/
