La dernière mise à jour proposée par l'équipe de Skype sur le système Windows présenterait une faille de sécurité relativement importante.
En dévoilant la version 5.5 de son logiciel de VoIP, Skype annonçait une meilleure intégration du réseau Facebook apportant davantage d'interactivité avec le fil de mises à jour de ses contacts. Si les adeptes de Facebook apprécieront, cette nouvelle fonctionnalité n'est pas sans risques.
En effet, une nouvelle vulnérabilité, découverte par le chercheur David Vieira-Kurz du cabinet SecAlert et rapportée par The Register exploite ainsi une technique bien connue qui vise à injecter du JavaScript directement au sein des messages de statut et des mises à jour de Facebook. Le client Skype n'apposerait effectivement pas de filtres et il serait possible de récupérer les cookies de la session Skype et donc d'accéder à une archives des communications effectuées par la victime. Cette méthode permettrait également d'inviter la victime à visiter un site fruduleux.
Cette nouvelle faille a été découverte quelques jours seulement après que Skype a annoncé la correction d'une autre faille identique pouvant se traduire par une attaque de type XSS.
Voici ci-dessous la vidéo de démonstration mise au point par M. Vieira-Kurz :