Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Уязвимости » В Skype обнаружена XSS-уязвимость
Уязвимости

В Skype обнаружена XSS-уязвимость

автор: Administrator | 16 июля 2011, 01:11 | Просмотров: 7754
теги: Skype, xss



В Skype обнаружена XSS-уязвимостьПопулярная VoIP программа Skype содержит уязвимость, которая может позволить получить атакующему доступ к аккаунту. Levent Kayan, нашедший XSS-уязвимость, в своем обзоре указал, что в некоторых случаях возможно получить доступ к системе пользователя.

Атакующий может внедрить javascript в поле мобильного телефона или поле «о себе». Эти поля недостаточно фильтруется, и когда кто-либо из контакт листа атакующего заходит в Skype внедренный код автоматически выполняется. Таким образом атакующий может сменить чей-либо пароль в Skype или изменить какие-либо другие данные.

Пример XSS-уязвимости в Skype
Пример XSS-уязвимости в SkypeПример XSS-уязвимости в Skype


Впрочем, у атаки есть и некоторые сложности. Одна из них заключается в том, что пользователи должны находиться в контакт-листах друг друга, кроме того атака не всегда срабатывает, когда жертва выходит в онлайн, иногда жертве приходится несколько раз выходить и заходить в Skype. Однако в конечном итоге уязвимость все-таки срабатывает, говорит эксперт.

XSS уязвимость содержится в версии Skype 5.3.0.120 и ранее, под управлением Windows и Mac, причем не всегда воспроизводится. Linux версия не затронута. На данный момент исправление не вышло.

Разработчики Skype подтвердили уязвимость и пообещали выпустить исправление в течение следующей недели. Они также объяснили почему уязвимость не всегда воспроизводится: для этого необходимо чтобы атакующий был в списке популярных контактов. Они также классифицировали проблему как не сильно значительную, т.к. атакующий якобы может только показать сообщение или перенаправить на другую страницу.




источник:
cybersecurity.ru
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.