iOS用SkypeのXSS

iPhoneまたはiPod TouchでiOSバージョンのSkypeを使用している場合、注意してください。バージョン3.0.1以前のSkypeメッセージチャットウィンドウでクロスサイトスクリプティングの脆弱性が検出されました。



ホールにより、攻撃者は、被害者がチャットメッセージを表示したときに実行される悪意のあるJavaScriptコードを実行できます。 この脆弱性により、ユーザーのアドレス帳などの情報の盗用が可能になります(カットの下のビデオを参照)。



Skypeはセキュリティ問題を認識していると主張し、次のように述べました:



「次のリリースでこの問題を修正するために一生懸命取り組んでおり、すぐにリリースしたいと思っています。 同時に、いつものように、インターネットセキュリティの基本的なルールを忘れないように、人々は注意を払って、知っている人々からの要求を受け入れることをお勧めします。


Skypeよ、最初の文で十分だろう。



AppSec Consultingのセキュリティ研究者Phil Purvianceは次のように書いています。



任意のJavaScriptコードの実行は非常に不快ですが、SkypeもURIで正しく動作しないことがわかりました。 通常、「about:blank」や「skype-randomtoken」などのようなURLが表示されますが、この場合は「file://」が表示されます。 これにより、攻撃者はユーザーのファイルシステムにアクセスでき、アプリケーション自体がアクセスできる任意のファイルにアクセスできます。

ファイルシステムへのアクセスは、Appleによって実装されたiOSサンドボックスによって部分的に制御されますが、攻撃者は重要なファイルにアクセスできません。 ただし、すべてのiOSアプリケーションはユーザーAddressBookにアクセスでき、Skypeも例外ではありません。


Philは、彼のTwitterアカウントで、ほぼ1か月前にSkypeのこのXSS脆弱性について報告したと述べています。







すぐに更新を待つべきであり、メディアの宣伝がこれに貢献することを期待しましょう。



All Articles