XSS уязвимость в Skype

    Популярная VoIP программа Skype содержит уязвимость, которая может позволить получить атакующему доступ к аккаунту. Levent Kayan, нашедший уязвимость, в своем обзоре указал, что в некоторых случаях возможно получить доступ к системе пользователя.

    Атакующий может внедрить JavaScript в поле мобильного телефона или поле «о себе». Эти поля недостаточно фильтруется, и когда кто-либо из контакт листа атакующего заходит в Skype внедренный код автоматически выполняется.

    XSS уязвимость содержится в версии Skype 5.3.0.120 и ранее, под управлением Windows и Mac, причем не всегда воспроизводится. Linux версия не затронута. На данный момент исправление не вышло.

    Разработчики Skype подтвердили уязвимость и пообещали выпустить исправление в течение следующей недели. Они также объяснили почему уязвимость не всегда воспроизводится: для этого необходимо чтобы атакующий был в списке популярных контактов. Они также классифицировали проблему как не сильно значительную, т.к. атакующий якобы может только показать сообщение или перенаправить на другую страницу.

    Источник
    Поделиться публикацией

    Похожие публикации

    Комментарии 21

      –26
      Казалось бы, при чем тут Майкрософт?
        +5
        > В версии Skype 5.3.0.120 и ранее.

        Вам слово «ранее» о чем-нибудь говорит?
          +1
          Да сколько можно…
            0
            Не вам, а чуть выше.
        +14
        Надоедать начинают едкие комментарии в сторону Майкрософта по поводу покупки скайпа и багов. Ничего из того, чего не было ранее, не появилось, прекратите. Да и серьёзных изменений первая не вносила.
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            Не смог найти ничего конкретного по завершению сделки.
            Но тем паче, все эти утверждения о том, что все ошибки из-за покупки, теряют какой-либо смысл, если вы правы.
              0
              да, и версия диверсии в skype, с целью подпортить репутацию Майкрософт, тоже имеет место быть.
                0
                > Не смог найти ничего конкретного по завершению сделки.
                1:11:23:
                Skype!.. Subject to regulatory approval.
                Skype. I gotta be careful here because we are in the middle of the regulatory process…
                --Steve Ballmer, July 11, 2011


                Сделка еще не закрыта, но даже после того как (если) закроется, там еще месяцы и месяцы на интеграцию всего этого добра с майкрософтовскими процессами разработки.
          +2
          > Linux версия не затронута

          Ну вот — а они динамили линух
            +6
            даже не реализовали поддержку JS для контактной информации
              –1
              Ну да же без этого? Как же тогда контактная информация вообще выводится?!

              Уж лучше бы вкладки реализовали…
                +1
                я также заметил интереснейшую вещь в клиенте для линукса. там даже инвиз не работает — тоесть видно людей сидящих в оном.
                0
                Именно по этому и не затронута ))
                +1
                Напугали только. Я рад, что я на Ubuntu. Пойду пить пятничное пиво дальше и вам того советую, друзья. :)
                  +3
                  а я бы вот не советовал
                    0
                    Дело не в пиве, а в отдыхе.
                  0
                  Когда изучал безопасность скайпа даже в голову не пришло такое простое решение. Это же ошибка школьников. Такой простой уязвимости я просто не ожидал
                    –12
                    Мне кажется не безопасно публиковать такие новости на столь популярном ресурсе до того как вышел официальный патч и есть разрешение от компании.
                      0
                      Новость за 13 число:
                      packetstormsecurity.org/files/favorite/103019/

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое