SkypeのXSS脆弱性

人気のVoIPプログラムSkypeには、攻撃者がアカウントにアクセスする可能性がある脆弱性が含まれています。 脆弱性を発見したLevent Kayanは、 彼のレビューで、場合によってはユーザーのシステムにアクセスできる可能性があることを示しました。



攻撃者はJavaScriptを携帯電話フィールドまたは「about me」フィールドに埋め込むことができます。 これらのフィールドは十分にフィルタリングされておらず、攻撃者の連絡先リストの誰かがSkypeに入ると、埋め込まれたコードが自動的に実行されます。



XSSの脆弱性は、WindowsおよびMacを実行するSkypeバージョン5.3.0.120以前に含まれており、常に再生されるとは限りません。 Linuxバージョンは影響を受けません。 現時点では、修正は機能しませんでした。



Skype開発者はこの脆弱性を確認し、来週以内にパッチをリリースすることを約束しました。 彼らはまた、なぜこの脆弱性が常に再現されるわけではないのかを説明しました。 また、彼らは問題をあまり重要ではないと分類しました。 攻撃者は、おそらくメッセージを表示するか、別のページにリダイレクトするだけです。



出所