Vulnérabilité
critique dans Skype (19/01/08)
MAJ 06/02/08 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans le logiciel de téléphonie IP
Skype pour Windows. L'exploitation d'une erreur de type Cross-Zone
Scripting lors de l'ajout d'une vidéo combinée à
une vulnérabilité du site Dailymotion pouvait permettre
à un individu malveillant ou à un virus d'exécuter
du code malicieux via une page web piégée.
LOGICIELS CONCERNES :
Skype 3.x pour Windows
Skype 2.x pour Windows
Skype 1.x pour Windows
RISQUE :
Critique
CORRECTIF :
Le défaut de sécurité a été temporairement
corrigé par l'éditeur côté serveurs,
par la désactivation temporaire des fonctions "add video
to mood" et "add video to chat", en attendant la disponibilité
d'un correctif pour le logiciel. Les utilisateurs concernés doivent
désormais installer immédiatement la nouvelle version
du logiciel (3.6.*.248 ou supérieure) sur le site
de l'éditeur, afin de prévenir toute exploitation malveillante
de cette faille de sécurité.
INFORMATIONS COMPLEMENTAIRES :
-> Bulletin
de sécurité SKYPE-SB/2008-001 (en anglais)
-> Bulletin
de sécurité SKYPE-SB/2008-001 Update1 (en anglais)
-> Bulletin
de sécurité SKYPE-SB/2008-001 Update2 (en anglais)
-> Bulletin
de sécurité SKYPE-SB/2008-002 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|