Het lek schuilt in de 'skype4com' URI-handler die door Skype bij de installatie wordt gecreëerd en is bedoeld voor het afhandelen van webadressen. Bij het bezoeken van kwaadaardige sites gaat het echter mis. Het gebruik van korte strings kan voor een manipulatie van het geheugen zorgen met de uitvoering van kwaadaardige en een buffer overflow mogelijk tot gevolg.

Het lek, dat door Secunia als ‘zeer kritisch’ wordt aangemerkt, schuilt in versie 3.5.0.239. Andere versies voor 3.6.0.216 zijn mogelijk ook kwetsbaar. Het lek werd op 15 november al door Skype gedicht. "Het is duidelijk dat Skype wederom een kritisch lek heeft gedicht zonder de gebruikers op de hoogte te stellen", zo stelt de website Heise Security.

Gebruikers wordt geadviseerd om zo snel mogelijk de meest recente versie van Skype voor Windows te installeren. Voor wie de eigen kwetsbaarheid wil testen heeft Secunia de Online Software Inspector en de Network Software Inspector.

Bron: Techworld