RSS

0day XSS en Skype

viernes, 15 de julio de 2011

Levent Kayan (noptrix), ha reportado una vulnerabilidad de cross-site scripting permanente en Skype que afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

Como todos los cross-site scripting, el error está causado por una falta de validación de los datos introducidos en la entrada del perfil "Mobile phone". Esto permite a un atacante remoto obtener el identificador de sesión de la víctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la función onload de JavaScript. Afirma que avisará a Skype del problema, por tanto no existe parche oficial disponible.

Las PoC:

Solución:
Skype validó el input de investigador pero hasta el momento no se sabe de un parche.

Welcome

Con la tecnología de Blogger.