Selon plusieurs sources, le programme d’installation de Skype serait vulnérable aux attaques par injection DLL. Même la toute dernière version 8 serait concernée.
Le programme d’installation de Skype se comporte-t-il comme un cheval de Troie en permettant des attaques par injection DLL ? C’est en tout cas ce que semble penser un hacker allemand qui explique que cette vulnérabilité est présente depuis toujours sur le logiciel de vidéo-conférence de Microsoft et même dans la dernière version 8. Pour ceux qui ne connaissent pas, une injection DLL est une attaque ciblée qui permet d’introduire une bibliothèque de liens dynamiques (DLL) afin que des programmes externes – et potentiellement malveillants – puissent manipuler le programme hôte.
Microsoft a indiqué qu’il n’était pas nécessaire de corriger le programme d’installation de Skype… mais a dans un même temps essayé de corriger la faille sur la version 8 de Skype. Des messages contradictoires, qui sont difficiles à interpréter.
De son côté, Stefan Kanthak (qui a découvert cette faille) affirme mordicus qu’elle est toujours présente dans le fichier d’installation de la dernière version de Skype et qu’il faut plus que jamais se méfier de ce type de logiciel. Contacté par nos confrères de 01net, Microsoft n’a pas souhaité commenter ou même donner des précisions sur cette affaire.
Pour éviter cette faille, et selon les indications du hacker qui a découvert le problème, l’installation de Skype dans sa dernière version doit se faire dans un dossier qui ne contient pas la DLL piégée. Il faut donc éviter d’exécuter le programme d’installation directement depuis le dossier de téléchargement des navigateurs et préférer le déplacer dans un dossier à part vierge de tout fichier.
pour en savoir plus: