Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/07/2011
Skype és un el client de VoIP molt popular, recentment adquirit per Microsoft. Compta amb milions d'usuaris per tot el món i permet les comunicacions a través de xat, veu i videoconferència amb altres usuaris de Skype o telèfons. A més està disponible per a distintes plataformes Windows, Linux i Mac OS X.
Com tots els cross-site scripting, l'error està causat per una falta de validació de les dades introduïdes en l'entrada del perfil "Mobile phone". Açò permet a un atacant remot obtindre l'identificador de sessió de la víctima i per tant, segrestar la seua identitat. El descobridor no descarta que altres camps patisquen el mateix problema.
Levent Kayan ha publicat una prova de concepte que demostra la vulnerabilitat, utilitzant un iframe i la funció onload de JavaScript. Afirma que avisarà a Skype del problema, per tant no hi ha pegat oficial disponible.
Skype versions anteriors a 5.3.0.120
Referències:None
Solució:No hi ha pegat oficial disponible.
Notes:http://www.skype.com/intl/es/home/
http://www.hispasec.com/unaaldia/4647
http://www.noptrix.net/advisories/skype_xss.txt