S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 octobre 2005
N° CERTA-2005-AVI-423
Affaire suivie par: CERT-FR
le 26 octobre 2005

Avis du CERT-FR

Objet: Vulnérabilités Skype

Gestion du document

Référence CERTA-2005-AVI-423
Titre Vulnérabilités Skype
Date de la première version 26 octobre 2005
Date de la dernière version 26 octobre 2005
Source(s) Avis SKYPE-SB/2005-002
Avis SKYPE-SB/2005-003
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution à distance de commandes arbitraires ;
  • déni de service.

Systèmes affectés

Toutes les plateformes et toutes les versions pour la vulnérabilité sur le débordement de variable dans le tas.

Le problème affecte les versions de SKYPE pour Windows dont les versions sont comprises entre 1.1.*.0 et 1.4.*.83 incluses pour la vulnérabilité sur les VCARDs et les URIs.

Description

SKYPE est un logiciel de téléphonie sur IP. Deux vulnérabilités affectent ce logiciel.

Un première vulnérabilité est liée à la gestion des URI et de l'importation des VCARDs. Un utilisateur mal intentionné peut construire des URLS astucieusement formées dans le but de produire un débordement de variable pouvant conduire à l'exécution de code arbitraire.

Une seconde vulnérabilité qui met en œuvre un débordement de variable dans le tas permet de produire un arrêt brutal du logiciel (déni de service). Cette vulnérabilité est accessible à un utilisateur distant qui peut envoyer un flux réseau astucieusement construit.

Contournement provisoire

Par nature, ce type d'application se prète au mal au filtrage sur des pare-feus (voir note CERTA-2001-INF-003).

Solution

Appliquer les correctifs du vendeur.

Documentation

Gestion détaillée du document

    le 26 octobre 2005
    version initiale.