Risques

  • Déni de service
  • Exécution à distance de commandes arbitraires

Systèmes affectés

Toutes les plateformes et toutes les versions pour la vulnérabilité sur le débordement de variable dans le tas.

Le problème affecte les versions de SKYPE pour Windows dont les versions sont comprises entre 1.1.*.0 et 1.4.*.83 incluses pour la vulnérabilité sur les VCARDs et les URIs.

Description

SKYPE est un logiciel de téléphonie sur IP. Deux vulnérabilités affectent ce logiciel.

Un première vulnérabilité est liée à la gestion des URI et de l'importation des VCARDs. Un utilisateur mal intentionné peut construire des URLS astucieusement formées dans le but de produire un débordement de variable pouvant conduire à l'exécution de code arbitraire.

Une seconde vulnérabilité qui met en œuvre un débordement de variable dans le tas permet de produire un arrêt brutal du logiciel (déni de service). Cette vulnérabilité est accessible à un utilisateur distant qui peut envoyer un flux réseau astucieusement construit.

Contournement provisoire

Par nature, ce type d'application se prète au mal au filtrage sur des pare-feus (voir note CERTA-2001-INF-003).

Solution

Appliquer les correctifs du vendeur.

Documentation