En dévoilant la version 5.5 de son logiciel de VoIP, Skype annonçait une meilleure intégration du réseau Facebook apportant davantage d'interactivité avec le fil de mises à jour de ses contacts. Si les adeptes de Facebook apprécieront, cette nouvelle fonctionnalité n'est pas sans risques.
En effet, une nouvelle vulnérabilité, découverte par le chercheur David Vieira-Kurz du cabinet SecAlert et rapportée par The Register exploite ainsi une technique bien connue qui vise à injecter du JavaScript directement au sein des messages de statut et des mises à jour de Facebook. Le client Skype n'apposerait effectivement pas de filtres et il serait possible de récupérer les cookies de la session Skype et donc d'accéder à une archives des communications effectuées par la victime. Cette méthode permettrait également d'inviter la victime à visiter un site fruduleux.
Cette nouvelle faille a été découverte quelques jours seulement après que Skype a annoncé la correction d'une autre faille identique pouvant se traduire par une attaque de type XSS.
Voici ci-dessous la vidéo de démonstration mise au point par M. Vieira-Kurz :
