Um erro de programação no Skype pode ser usado por criminosos virtuais para inserir softwares maliciosos no PC da vítima. A falha, reportada na última semana pelo pesquisador Aviv Raff, está na maneira com que o Skype usa um componente do Internet Explorer para renderizar páginas HTML. Como o software não aplica controles de segurança nestas páginas, o atacante pode usar o problema para executar scripts maliciosos.
O Skype usa a classificação de segurança "Zona Local" do Internet Explorer mesmo para páginas HTML desconhecidas. Como esta zona não apresenta restrições de segurança, o pesquisador Petko Petkov explicou que qualquer código malicioso pode ser rodado. Para o ataque funcionar, um site confiável precisa ser explorado de forma a redirecionar o tráfego para páginas maliciosas.
Num vídeo, Raff mostrou como uma falha no site Dailymotion pode ser explorada para abrir a calculadora do Windows, usando apenas a função "Add video to chat" do Skype. O problema afeta a versão mais recente do Skype e versões antigas do software também pode estar infectadas.
