Aviv Raff, ricercatore attivo nell'ambito della sicurezza informatica, ha scoperto e dimostrato una falla che affligge il famoso client VoIP Skype. Il bug potrebbe permettere attacchi esterni, lasciando all'aggressore la possibilità di eseguire codice maligno. Il problema è causato dal "Web Control" di Skype. Il programma utilizza Internet Exploer per interpretare codice HTML, affidandosi alle impostazioni di sicurezza "Local Zone".
Per sfruttare il bug, un attacker ha la necessità di trovare un sito web fidato con all'interno un errore di tipo cross-zone scripting. Questo tipo di errori sono, purtroppo, molto frequenti e consentono l'esecuzione di script poco sicuri sul computer vittima. Secondo Petko Petkov, altro ricercatore di sicurezza, "quando una particolare risorsa viene eseguita nel contesto Local Zone è possibile fare qualsiasi cosa; scrivere e leggere file dal disco della vittima o lanciare eseguibili attraverso le primitive WSH".
In questo caso il rischio di contagio è molto alto in quanto Skype utilizza per le ricerche video il sito web Dailymotion.com, vulnerabile proprio all'attacco cross-site scripting. In pratica, ogni video presente su quel sito potrebbe contenere uno script pericoloso. Tuttavia non è stato ancora trovato materiale sospetto. Il bug in questione affligge la versione Skype 3.6.0.244 e potrebbe anche essere presente nelle versioni precedenti. Per il momento, visto che non esiste ancora una soluzione al problema, l'unica cosa da fare è evitare le ricerche video attraverso Skype.
Aviv Raff ha anche creato una dimostrazione video:
