Det är funktionen ”URI handler” i Skypes klientprogramvara som varit möjlig att gå runt. Dess uppgift är att kontrollera att filer som laddas ner inte har vissa filändelser som tyder på att det är en körbar fil. Om användaren försöker ladda ner en fil med filändelse står på svarta listan (.ade, .adp, .asd, .bas, .bat, .cab, .chm, .cdm, .com, .cpl, .crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp och .js) ska klienten visa en varningsruta för användaren.

Ett fel var att Skypes klientprogram gick att finta genom att kalla en fil .eXe istället för .exe. Ett annat fel var att alla exekverbara filtyper inte stod på svarta listan.

Alla versioner av Skype för Windows till och med version 3.8.*115 är sårbara. Från och med 3.8.0.139 ska ovanstående buggar vara åtgärdade.

Källa: Zdnet

Läs också:
Forskare visar snabb steganografi i VoIP

Skype utpekat som adware

Skype tätar tredje allvarlig bugg.