Skype victime d’un bug critique

**Amine Horseman** · 04/06/2015, 20h40

Skype victime d’un bug critique
Causé par l’envoi d’un certain message contenant 8 caractères seulement

Il y a deux jours, des utilisateurs de Skype avaient détecté un nouveau bug qui se déclenche lors de l’envoi ou de la réception de la chaine de caractères « http://: ». Cette chaine -qui pourrait être la conséquence d’une faute de frappe lorsqu’on tape manuellement une URL au clavier- causerait non seulement l’arrêt immédiat de l’application de messagerie instantanée de Microsoft, mais aussi le crash de l’application à chaque démarrage de Skype. Il semblerait aussi que le bug persiste même si on supprime l’historique puisque l’application crasherait de nouveau lorsqu'elle se connecte au serveur pour re-télécharger l’historique du chat.

D’après une capture d’écran qu’un utilisateur a publié mardi dernier sur les forums de la communauté Skype, la raison du crash serait une violation de la mémoire ; en d’autres termes, le programme tente d’accéder à une zone de la mémoire protégée et le système d’exploitation l’en empêche en arrêtant immédiatement l’application.

Selon des tests effectués par l’équipe de Venture Beat, le bug est présent sur Windows, Android et iOS, mais ne semble pas toucher Mac. Toutefois, l’application ne se comporte pas de la même façon sur toutes les plateformes. En effet, il semblerait que sur Android et iOS, l’application crashe seulement lors de la réception de cette mauvaise URL ; ni son envoi ni sa récupération de l’historique du chat ne causerait de problèmes. De même, selon les tests effectués par l’équipe de rédaction de Developpez.com, la version Skype pour Ubuntu n’est pas affectée non plus.

Une des solutions temporaires qui avaient été proposées par les utilisateurs des forums Skype consistait à rétrograder vers une ancienne version de Skype (en l’occurrence une des versions 6.x) ; ou encore, à activer le style Metro sur Windows qui semble ne pas être affecté par ce crash. Toutefois, ceci n’est plus nécessaire dorénavant puisque Microsoft a fait de son mieux pour corriger le bug en moins de 24h. On peut donc désormais télécharger la dernière mise à jour de Skype (version 7.5.64.102) qui règle ce problème définitivement en empêchant l’application d’envoyer la chaine qui fait défaut : « Nos équipes d'ingénieurs ont travaillé dur pour résoudre ce problème, et ont publié des mises à jour pour toutes les plateformes Skype touchées », déclare le Community Manager de l’équipe Skype.

Pour rappel, un bug étrangement similaire a été découvert le mois dernier dans le parseur de rust-url dont l’objectif est d’implémenter le standard URL pour le langage de programmation Rust.

Télécharger la dernière mise à jour de Skype pour Windows

Télécharger la dernière mise à jour de Skype pour Android

Télécharger la dernière mise à jour de Skype pour iOS

Source : Skype community, Venture Beat

Et vous ?

Avez-vous eu affaire à ce bug ou à un autre bug similaire ?

Avez-vous vérifié la présence du bug sur les autres distributions de Linux ?

**Lynix** · 04/06/2015, 21h12

Héhé, j'ai testé avant de lire que ça empêchait le redémarrage de Skype, et du coup, je confirme ...

Pour moi et ma connerie... PEBKAC

**abriotde** · 04/06/2015, 22h17

HiHi, j'ai Ubuntu, je pourais donc faire planter le skype de tous mes amis

**tbarry** · 04/06/2015, 22h35

L'année dernière il y'a eu un bug similaire chez Wiko (il suffisait d'envoyer la chaine "=" pour figer le téléphone) et cette année il y'a eu l'application Message chez OSX/iOS qui plante quand il reçoit des caractère Arab-like, et maintenant c'est chez Microsoft.
Franchement corriger moi si je me trompe, mais ça ne m'a pas l'air très très compliquer de sanitiser et de parser un message quelqu'il soit,
sachant qu'il y'a une bonne vielle règle en sécurité qui dit: "Never trust the user input".
Il font exprès ou quoi ?