ホールにより、攻撃者は、被害者がチャットメッセージを表示したときに実行される悪意のあるJavaScriptコードを実行できます。 この脆弱性により、ユーザーのアドレス帳などの情報の盗用が可能になります(カットの下のビデオを参照)。
Skypeはセキュリティ問題を認識していると主張し、次のように述べました:
「次のリリースでこの問題を修正するために一生懸命取り組んでおり、すぐにリリースしたいと思っています。 同時に、いつものように、インターネットセキュリティの基本的なルールを忘れないように、人々は注意を払って、知っている人々からの要求を受け入れることをお勧めします。
Skypeよ、最初の文で十分だろう。
AppSec Consultingのセキュリティ研究者Phil Purvianceは次のように書いています。
任意のJavaScriptコードの実行は非常に不快ですが、SkypeもURIで正しく動作しないことがわかりました。 通常、「about:blank」や「skype-randomtoken」などのようなURLが表示されますが、この場合は「file://」が表示されます。 これにより、攻撃者はユーザーのファイルシステムにアクセスでき、アプリケーション自体がアクセスできる任意のファイルにアクセスできます。
ファイルシステムへのアクセスは、Appleによって実装されたiOSサンドボックスによって部分的に制御されますが、攻撃者は重要なファイルにアクセスできません。 ただし、すべてのiOSアプリケーションはユーザーAddressBookにアクセスでき、Skypeも例外ではありません。
Philは、彼のTwitterアカウントで、ほぼ1か月前にSkypeのこのXSS脆弱性について報告したと述べています。
すぐに更新を待つべきであり、メディアの宣伝がこれに貢献することを期待しましょう。