Vulnerabilidad cross-site scripting en Skype
Levent Kayan (noptrix), ha reportado una vulnerabilidad de cross-site
scripting permanente en Skype que afecta a las versiones anteriores a
5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.
Skype es un el cliente de VoIP muy popular, recientemente adquirido por
Microsoft. Cuenta con millones de usuarios por todo el mundo y permite
las comunicaciones a través de chat, voz y videoconferencia con otros
usuarios de Skype o teléfonos. Además está disponible para distintas
plataformas Windows, Linux y Mac OS X.
Como todos los cross-site scripting, el error está causado por una falta
de validación de los datos introducidos en la entrada del perfil “Mobile
phone”. Esto permite a un atacante remoto obtener el identificador de
sesión de la víctima y por tanto, secuestrar su identidad. El
descubridor no descarta que otros campos sufran el mismo problema.
Levent Kayan ha publicado una prueba de concepto que demuestra la
vulnerabilidad, utilizando un iframe y la función onload de JavaScript.
Afirma que avisará a Skype del problema, por tanto no existe parche
oficial disponible.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.