SKY-net

В приложении Skype была обнаружена XSS-уязвимость, позволяющая злоумышленнику получить доступ к учетной записи текущего пользователя. По словам Левента Каяна (Levent Kayan), обнаружившего уязвимость, с ее помощью злоумышленник может также получить дополнительное преимущество при целенаправленной атаке на систему.

С помощью межсайтового скриптинга, злоумышленник может вставить в клиент Skype специально сформированный Java-сценарий. Ввиду некорректной проверки входных данных, этот сценарий может автоматически выполниться по отношению к любому пользователю, который появится в сети. С помощью Java- сценария, злоумышленник может, например, получить идентификатор сессии пользователя.

Уязвимость распространяется на клиенты Skype версии 5.3.0.120 для Windows и Mac. На клиенты Skype для Linux уязвимость не распространяется. Разработчики продукта были уведомлены о наличии уязвимости и уже занимаются ее исправлением. По официальным данным обновление безопасности будет готово до конца текущей недели. Данный инцидент имеет низкий уровень угрозы, потому что, для успешной атаки, злоумышленник должен быть добавлен в контакты своей жертвы.

www.securitylab.ru

Опубликовано 18.07.2011 12:41 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Опубликован эксплоит для Skype
• В Skype 2.0 beta для Linux появилась поддержка видео
• PlayStation получила поддержку Skype
• XSS уязвимость в технологии интеграции Facebook и Skype устранена
• Skype добавит функцию платежей через PayPal и другие сервисы