Cross-site scripting en Skype

wolfbcn · 16 Julio 2011, 01:03 AM

Levent Kayan (noptrix), ha reportado una vulnerabilidad de cross-site scripting permanente en Skype que afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o teléfonos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X.

Como todos los cross-site scripting, el error está causado por una falta de validación de los datos introducidos en la entrada del perfil "Mobile phone". Esto permite a un atacante remoto obtener el identificador de sesión de la víctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la función onload de javascript. Afirma que avisará a Skype del problema, por tanto no existe parche oficial disponible.

José Ignacio Palacios
jipalacios@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4647

dimitrix · 16 Julio 2011, 03:10 AM

No tenía ni idea de que usaran HTML para mostrar los datos de los perfiles

Pero esto me recuerda a un fallo de 'Pando' que encontré que nunca publiqué...

Mal por Skype...

.:WindHack:. · 16 Julio 2011, 04:25 AM

Acá está la PoC... http://www.noptrix.net/tmp/skype_linux.ogv

Nakp · 17 Julio 2011, 17:21 PM

jajaja.. esperen que algún fanboy lea la noticia y venga a decir que es culpa de M$

WHK · 18 Julio 2011, 12:35 PM

Cita de: Nakp en 17 Julio 2011, 17:21 PM
jajaja.. esperen que algún fanboy lea la noticia y venga a decir que es culpa de M$

Es culpa de microsoft.

Test Foro de elhacker.net SMF 2.1

Cross-site scripting en Skype

wolfbcn

dimitrix

.:WindHack:.

Nakp

WHK