De problemen doen zich voor in alle varianten van Skype for Windows die versienummer 3.6.*.244 of lager hebben, zo blijkt uit een advisory die Skype online heeft gezet. Gebruikers van Skype voor Windows doen er derhalve verstandig aan om te updaten naar versie 3.6.*.248 of hoger.

De kwetsbaarheid schuilt in de manier waarop de Skype-client omgaat met html-pagina's. Skype gebruikt Internet Explorer web control voor het renderen van html-content. Door de bug is het mogelijk om scripts uit te voeren in de unlocked Local Zone-mode. Daarmee zet Skype de deur open voor cross-zone scripting exploits.

De Israëlische securityonderzoeker Aviv Raff bracht het lek enkele weken geleden aan het licht. Raff en anderen brachten de afgelopen weken diverse proof of concepts uit om aan te tonen tot welke problemen de kwetsbaarheid kon leiden.

Raff toonde om te beginnen aan hoe makkelijk het was om misbruik te maken van de bug met behulp van video's op DailyMotion. Een vergelijkbaar probleem deed zich voor in de feature SkypeFind. Deze functie die gebruikers in staat stelt om bedrijven aan te raden aan andere Skype-gebruikers, bleek ook behulpzaam te kunnen zijn bij het achterlaten van malware op pc's van gebruikers.

Skype bracht een patch uit voor de twee problemen, maar in beide gevallen was er alleen sprake van symptoombestrijding in plaats van een structurele aanpak van het onderliggende probleem. Met de nieuwste update hoopt Skype de problemen nu definitief achter zich te laten.

Bron: Techworld