De Israelische beveiligingsonderzoeker Aviv Raff heeft een ernstig lek in de populaire VoIP-applicatie Skype gevonden waardoor aanvallers Windows computers kunnen overnemen, en een patch is nog niet beschikbaar. Skype gebruikt het Internet Explorer web control om interne en externe HTML pagina's binnen de applicatie te renderen. Het gaat dan bijvoorbeeld om de "Send money via PayPal" en "Add video to chat" vensters.

Raff ontdekte dat Skype het web control in de Lokale Zone draait. Het probleem is dat de HTML pagina's in de niet gelockte Lokale Zone draait, waardoor er een script aan die pagina's toegevoegd kan worden, en er willekeurige code op de machine is uit te voeren. Met name Skype-gebruikers die de "Add Video to Chat" feature gebruiken lopen risico. "Dit betekent dat een aanvaller een filmpje kan uploaden, een paar populaire tags zoals "Paris Hilton" toevoegt en elke gebruiker weet te hacken die via Skype op die sleutelwoorden zoekt." De aanval is getest tegen de nieuwste versie van Skype, maar ook oudere versies zouden kwetsbaar zijn. Tot die tijd wordt gebruikers afgeraden om via Skype naar filmpjes te zoeken.

De onderzoeker maakte dit filmpje als bewijs. En het probleem met Skype lijkt nog veel dieper te zitten. Onderzoeker Petko Petkov merkt op: "Ik zag dat een deel van het Skype verkeer via onversleutelde kanalen gaat. De onversleutelde pakketten zijn onderdeel van de Skype advertenties die op verschillende plekken te zien zijn, en waarvan sommige in de ongelimiteerde IE controller belanden. Met tools zoals Airpwn en Karma kan een aanvaller die advertenties eenvoudig kapen en vervangen door kwaadaardige code. De kwaadaardige code zal tijdens het renderen binnen de ongelimiteerde IE controller worden uitgevoerd, en zo de aanvaller toegang geven. Deze aanval is zeer eenvoudig uit te voeren en vereist bijna geen voorbereiding."