Хабрахабр: Коллективные / Блоги / Захабренные Голосов: 10 Адрес блога: http://habrahabr.ru/blog/ Добавлен: 2007-10-24 18:05:40 блограйдером Robin_Bad

Skype / XSS уязвимость в Skype

2011-07-15 21:03:05 (читать в оригинале)

Популярная VoIP программа Skype содержит уязвимость, которая может позволить получить атакующему доступ к аккаунту. Levent Kayan, нашедший уязвимость, в своем обзоре указал, что в некоторых случаях возможно получить доступ к системе пользователя.

Атакующий может внедрить JavaScript в поле мобильного телефона или поле «о себе». Эти поля недостаточно фильтруется, и когда кто-либо из контакт листа атакующего заходит в Skype внедренный код автоматически выполняется.

XSS уязвимость содержится в версии Skype 5.3.0.120 и ранее, под управлением Windows и Mac, причем не всегда воспроизводится. Linux версия не затронута. На данный момент исправление не вышло.

Разработчики Skype подтвердили уязвимость и пообещали выпустить исправление в течение следующей недели. Они также объяснили почему уязвимость не всегда воспроизводится: для этого необходимо чтобы атакующий был в списке популярных контактов. Они также классифицировали проблему как не сильно значительную, т.к. атакующий якобы может только показать сообщение или перенаправить на другую страницу.

Источник