Per sfruttare il bug, un attacker ha la necessità di trovare un sito web fidato con all'interno un errore di tipo cross-zone scripting. Questo tipo di errori sono, purtroppo, molto frequenti e consentono l'esecuzione di script poco sicuri sul computer vittima. Secondo Petko Petkov, altro ricercatore di sicurezza, "quando una particolare risorsa viene eseguita nel contesto Local Zone è possibile fare qualsiasi cosa; scrivere e leggere file dal disco della vittima o lanciare eseguibili attraverso le primitive WSH".
In questo caso il rischio di contagio è molto alto in quanto Skype utilizza per le ricerche video il sito web Dailymotion.com, vulnerabile proprio all'attacco cross-site scripting. In pratica, ogni video presente su quel sito potrebbe contenere uno script pericoloso. Tuttavia non è stato ancora trovato materiale sospetto. Il bug in questione affligge la versione Skype 3.6.0.244 e potrebbe anche essere presente nelle versioni precedenti. Per il momento, visto che non esiste ancora una soluzione al problema, l'unica cosa da fare è evitare le ricerche video attraverso Skype.
Aviv Raff ha anche creato una dimostrazione video:
Fonte: http://www.tomshw.it
Non mi è mai stato simpatico Skype, ed ora ho un motivo in più per continuare a non amarlo.