Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/07/2011

Cross-site scripting en Skype

Levent Kayan (noptrix), ha reportat una vulnerabilitat de cross-site scripting permanent en Skype que afecta les versions anteriors a 5.3.0.120 i les plataformes Windows XP, Vista, 7 i Mac OS X.

Skype és un el client de VoIP molt popular, recentment adquirit per Microsoft. Compta amb milions d'usuaris per tot el món i permet les comunicacions a través de xat, veu i videoconferència amb altres usuaris de Skype o telèfons. A més està disponible per a distintes plataformes Windows, Linux i Mac OS X.

Com tots els cross-site scripting, l'error està causat per una falta de validació de les dades introduïdes en l'entrada del perfil "Mobile phone". Açò permet a un atacant remot obtindre l'identificador de sessió de la víctima i per tant, segrestar la seua identitat. El descobridor no descarta que altres camps patisquen el mateix problema.

Levent Kayan ha publicat una prova de concepte que demostra la vulnerabilitat, utilitzant un iframe i la funció onload de JavaScript. Afirma que avisarà a Skype del problema, per tant no hi ha pegat oficial disponible.

Sistemes Afectats:

Skype versions anteriors a 5.3.0.120

Referències:

None

Solució:

No hi ha pegat oficial disponible.

Notes:

http://www.skype.com/intl/es/home/
http://www.hispasec.com/unaaldia/4647
http://www.noptrix.net/advisories/skype_xss.txt

CSIRT-CV