Skype révèle une vulnérabilité sensible que Microsoft ne se hâte pas de réparer

Un méchant bug de Skype pourrait permettre à une personne malveillante d'accéder au «système» d'un ordinateur vulnérable. Le bug concerne à la fois les plateformes macOS et Windows.

Le bug, s'il est exploité, peut modifier les droits d'un utilisateur local lui donnant ainsi accès à l'ensemble du système d'exploitation, relate le site ZDNet.

Cependant, Microsoft, propriétaire de ce service d'appel vocal et vidéo, a déclaré qu'il ne réparerait pas immédiatement le problème, car le bug nécessiterait trop de travail, relate le site ZDNet.

Stefan Kanthak, chercheur en sécurité, a découvert que le programme de mise à jour de Skype pourrait être malicieusement modifié. Un hacker peut télécharger une DLL illicite dans un dossier temporaire accessible à l'utilisateur et le renommer en une DLL pouvant être modifiée par un utilisateur non privilégié (par exemple en lui donnant le nom UXTheme.dll). Le bug fonctionne parce que la DLL malveillante est trouvée en premier lorsque l'application recherche la DLL dont elle a besoin.

Selon M.Kanthak, une telle opération est aussi possible sur macOS ou Linux. Une fois que l'accès au système est accordé, on «peut tout faire», dit-il.

Microsoft affirme qu'au lieu d'émettre une mise à jour de sécurité, Skype subira une révision majeure, plus tard, durant laquelle le bug sera corrigé. La société déclare qu'elle mettrait «toutes ses ressources» à construire une toute nouvelle version du client.