Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Monday 21 January 2008
0 comment(s) | Subnetwork France

Aviv Raff, chercheur en sécurité informatique, a révélé l'existence d'une vulnérabilité critique affectant les récentes versions de Skype pour Windows (3.5.* et 3.5.*), utilisées dans le cadre d'un partage de vidéos. Une fonctionnalité intégrée dans le logiciel et offerte grâce à accord de diffusion signé avec plusieurs acteurs du domaine, dont le français Dailymotion. Ladite vulnérabilité a été confirmée par Skype.

Pour afficher du contenu Web, Skype utilise sous Windows via un contrôle spécifique, le moteur de rendu HTML du navigateur de Microsoft, Internet Exporer. C'est notamment le cas pour ajouter de la vidéo à la conversation (fonctionnalité add video to chat). Cette opération s'effectue dans le contexte de sécurité Zone Locale d'Internet Explorer, un mode non sécurisé qui autorise l'exécution de scripts. De fait, Skype hérite à ce niveau de tous les problèmes de sécurité liés au Web, et est donc potentiellement vulnérable aux attaques de type XSS. Là où le bât blesse, c'est que Dailymotion (site de confiance) souffre justement d'une telle vulnérabilité.

Petit clip à l'appui, Aviv Raff en fait la démonstration en provoquant sous Windows Vista, l'exécution de la calculatrice suite à la recherche (sous Skype) d'une vidéo Dailymotion avec les mots clés calc test (tags de la vidéo). Le code qui aurait pu être bien plus malveillant est en réalité contenu dans le titre de la vidéo. En résumé, un attaquant distant peut donc injecter et exécuter du code malicieux dans le contexte de sécurité de la Zone Locale d'Internet Explorer.

En attendant la publication d'un correctif, Skype a pris la sage décision de tout simplement désactiver temporairement la fonctionnalité d'ajout de vidéos offerte avec son logiciel de VoIP.

Le blog d'Aivi Raff
http://aviv.raffon.net/2008/01/17/SkypeCrosszoneScriptingVulnerability.aspx

Le bulletin de sécurité de Skype
http://skype.com/security/skype-sb-2008-001.html