Aviv Raff, un chercheur israélien spécialisté dans les vulnérabilités, a récemment décelé une nouvelle faille de sécurité dans Skype. Selon un message posté le 17 janvier 2008, Skype pourrait servir de vecteur à une personne malintentionnée pour prendre le contrôle à distance du PC affecté. Le simple affichage d'une page Web suffit à exploiter la vulnérabilité qualifiée de type cross-zone scripting.

L'utilisation du moteur de rendu s'effectue dans le mode Zone Locale du navigateur au lieu du mode Zone Internet, qui plus est en mode non sécurisé. Ce mode local non sécurisé autorise l'exécution de scripts qui peuvent être lancés à travers l'affichage d'une simple page HTML infectieuse.

Pour illustrer son propos, l'expert a créé une "preuve de faisabilité" dans laquelle il exécute la calculatrice de Windows Vista rien qu'en tapant "calc test" dans la boîte de dialogue d'ajout de vidéo (bouton "Add video to chat") de Skype à partir de la plate-forme Dailymotion. La vidéo ci-desssous l'illustre :

Toujours d'après Aviv Raff, la vulnérabilité affecte la dernière version de l'application, la v3.6.0.244, mais les versions antérieures pourraient également être concernées.