Drie weken geleden verscheen er een nieuwe versie van Skype, waarin het bedrijf stilletjes een ernstig beveiligingslek heeft gedicht waardoor aanvallers het systeem over konden nemen. De kwetsbaarheid bevond zich in de "skype4com" URI handler, en liet een aanvaller willekeurige code uitvoeren als de gebruiker een kwaadaardige pagina bezocht. Het lek werd in versie 3.6.0.216 verholpen, maar in de changelog wordt de kwetsbaarheid nergens gemeld.
Het lek werd door een anonieme beveiligingsonderzoeker verkocht aan TippingPoint, een onderdeel van netwerkgigant 3Com. Op twee november werd Skype ingelicht, dertien dagen later verscheen de gepatchte versie. De advisory verscheen echter gisteren. Gebruikers die sinds 15 november het programma niet meer hebben geupdate wordt dringend aangeraden de laatste versie te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.