CERTA-2006-AVI-209

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité a été identifiée dans Skype, pour certaines versions fonctionnant sous Microsoft Windows. Elle permet à un utilisateur distant malveillant de transférer des fichiers sans le consentement préalable de la personne qui aurait décidé d'utiliser Skype sur la machine ciblée.

Description

Une vulnérabilité a été identifiée dans Skype, pour certaines versions fonctionnant sous Microsoft Windows. Elle concerne le traitement des paramètres liés à l'analyse des adresses réticulaires (ou URI pour Uniform Resource Identifier). Une personne utilisant Skype peut se faire dérober des informations par un utilisateur distant : celui-ci doit contruire une adresse réticulaire malveillante exploitant la vulnérabilité précédente. Si l'utilisateur clique dessus, cela démarre l'envoi de fichiers depuis sa machine et à son insu. Cette attaque implique néanmoins que les deux parties soient préalablement d'accord pour communiquer (donc une fois la phase d'autorisation établie).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La vulnérabilité concerne les versions Skype fonctionnant sous Microsoft Windows. Les versions impactées sont :

  • la version 2.0.*.104 et celles antérieures ;
  • la verson 2.5.*.78 et celles antérieures.
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLa vuln\u00e9rabilit\u00e9 concerne les versions Skype fonctionnant sous  Microsoft Windows. Les versions impact\u00e9es sont :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003ela version 2.0.*.104 et celles ant\u00e9rieures ;\u003c/LI\u003e    \u003cLI\u003ela verson 2.5.*.78 et celles ant\u00e9rieures.\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans Skype, pour certaines versions\nfonctionnant sous Microsoft Windows. Elle concerne le traitement des\nparam\u00e8tres li\u00e9s \u00e0 l\u0027analyse des adresses r\u00e9ticulaires (ou URI pour\nUniform Resource Identifier). Une personne utilisant Skype peut se faire\nd\u00e9rober des informations par un utilisateur distant : celui-ci doit\ncontruire une adresse r\u00e9ticulaire malveillante exploitant la\nvuln\u00e9rabilit\u00e9 pr\u00e9c\u00e9dente. Si l\u0027utilisateur clique dessus, cela d\u00e9marre\nl\u0027envoi de fichiers depuis sa machine et \u00e0 son insu. Cette attaque\nimplique n\u00e9anmoins que les deux parties soient pr\u00e9alablement d\u0027accord\npour communiquer (donc une fois la phase d\u0027autorisation \u00e9tablie).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2006-2312",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-2312"
    }
  ],
  "links": [
    {
      "title": "Mise \u00e0 jour fournie par l\u0027\u00e9diteur Skype :",
      "url": "http://www.skype.com/download/skype/windows/"
    }
  ],
  "reference": "CERTA-2006-AVI-209",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-05-22T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans Skype, pour certaines versions\nfonctionnant sous Microsoft Windows. Elle permet \u00e0 un utilisateur\ndistant malveillant de transf\u00e9rer des fichiers sans le consentement\npr\u00e9alable de la personne qui aurait d\u00e9cid\u00e9 d\u0027utiliser Skype sur la\nmachine cibl\u00e9e.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Skype pour Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de mise \u00e0 jour de Skype",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.