Cross-site scripting en Skype

Levent Kayan (noptrix), ha reportado una vulnerabilidad de cross-site scripting permanente en Skype que afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a trav茅s de chat, voz y videoconferencia con otros usuarios de Skype o tel茅fonos. Adem谩s est谩 disponible para distintas plataformas Windows, Linux y Mac OS X.

Como todos los cross-site scripting, el error est谩 causado por una falta de validaci贸n de los datos introducidos en la entrada del perfil “Mobile phone”. Esto permite a un atacante remoto obtener el identificador de sesi贸n de la v铆ctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la funci贸n onload de JavaScript. Afirma que avisar谩 a Skype del problema, por tanto no existe parche oficial disponible.

Mas informaci贸n en este enlace.

Fuente: Hispasec

Share

This entry was posted in bugs, seguridad, tools, updates. Bookmark the permalink.

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.