CERTA-2005-AVI-423

Vulnerability from certfr_avis - Published: 2005-10-26 - Updated: 2005-10-26

None

Description

SKYPE est un logiciel de téléphonie sur IP. Deux vulnérabilités affectent ce logiciel.

Un première vulnérabilité est liée à la gestion des URI et de l'importation des VCARDs. Un utilisateur mal intentionné peut construire des URLS astucieusement formées dans le but de produire un débordement de variable pouvant conduire à l'exécution de code arbitraire.

Une seconde vulnérabilité qui met en œuvre un débordement de variable dans le tas permet de produire un arrêt brutal du logiciel (déni de service). Cette vulnérabilité est accessible à un utilisateur distant qui peut envoyer un flux réseau astucieusement construit.

Contournement provisoire

Par nature, ce type d'application se prète au mal au filtrage sur des pare-feus (voir note CERTA-2001-INF-003).

Solution

Appliquer les correctifs du vendeur.

Toutes les plateformes et toutes les versions pour la vulnérabilité sur le débordement de variable dans le tas.

Le problème affecte les versions de SKYPE pour Windows dont les versions sont comprises entre 1.1.*.0 et 1.4.*.83 incluses pour la vulnérabilité sur les VCARDs et les URIs.

Impacted products
Vendor Product Description
References
Avis SKYPE-SB/2005-003 None vendor-advisory
Avis SKYPE-SB/2005-002 None vendor-advisory
note d'information du CERTA : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eToutes les plateformes et toutes les versions pour la  vuln\u00e9rabilit\u00e9 sur le d\u00e9bordement de variable dans le tas.\u003c/P\u003e  \u003cP\u003eLe probl\u00e8me affecte les versions de SKYPE pour Windows dont  les versions sont comprises entre 1.1.*.0 et 1.4.*.83 incluses  pour la vuln\u00e9rabilit\u00e9 sur les VCARDs et les URIs.\u003c/P\u003e",
  "content": "## Description\n\nSKYPE est un logiciel de t\u00e9l\u00e9phonie sur IP. Deux vuln\u00e9rabilit\u00e9s\naffectent ce logiciel.\n\nUn premi\u00e8re vuln\u00e9rabilit\u00e9 est li\u00e9e \u00e0 la gestion des URI et de\nl\u0027importation des VCARDs. Un utilisateur mal intentionn\u00e9 peut construire\ndes URLS astucieusement form\u00e9es dans le but de produire un d\u00e9bordement\nde variable pouvant conduire \u00e0 l\u0027ex\u00e9cution de code arbitraire.\n\nUne seconde vuln\u00e9rabilit\u00e9 qui met en \u0153uvre un d\u00e9bordement de variable\ndans le tas permet de produire un arr\u00eat brutal du logiciel (d\u00e9ni de\nservice). Cette vuln\u00e9rabilit\u00e9 est accessible \u00e0 un utilisateur distant\nqui peut envoyer un flux r\u00e9seau astucieusement construit.\n\n## Contournement provisoire\n\nPar nature, ce type d\u0027application se pr\u00e8te au mal au filtrage sur des\npare-feus (voir note CERTA-2001-INF-003).\n\n## Solution\n\nAppliquer les correctifs du vendeur.\n",
  "cves": [],
  "initial_release_date": "2005-10-26T00:00:00",
  "last_revision_date": "2005-10-26T00:00:00",
  "links": [
    {
      "title": "note d\u0027information du CERTA :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-003"
    }
  ],
  "reference": "CERTA-2005-AVI-423",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-10-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution \u00e0 distance de commandes arbitraires"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9s Skype",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis SKYPE-SB/2005-003",
      "url": "http://www.skype.com/security/skype-sb-2005-03.html"
    },
    {
      "published_at": null,
      "title": "Avis SKYPE-SB/2005-002",
      "url": "http://www.skype.com/security/skype-sb-2005-03.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.