Arquivo da tag: skype 5.5.0.113

Vulnerabilidade XSS no Skype permite injeção de código malicioso

De acordo com um pesquisador alemão, uma falha Cross-Site Scripting (XSS) na última versão do Skype ( 5.5.0.113) para sistemas Windows pode permitir que crackers injetem um código malicioso em sessões de telefone dos usuários, podendo até sequestrar seus computadores.

O problema acontece devido a uma falta de validação e sanitização output relacionada ao perfil para número de casa, do escritório e números de telefones móveis, segundo o pesquisador. Apesar de todas essas evidências, o Skype negou que a vulnerabilidade realmente exista.

O pesquisador insistiu na veracidade de suas descobertas, afirmando que a empresa usa HTML para incorporar todas as entradas no perfil dos usuários do Skype. O “parser” não estaria validando a entrada, então houve a possibilidade de injetar código HTML.

Além disso, ele disse que o ataque é executado quando um usuário faz check-out em um perfil, com o código malicioso embutido nas entradas do perfil em questão. O código injetado pode ser um comando JavaScript malicioso ou um hyperlink para um site. A partir desse momento, o usuário é infectado.

Fonte: Under-Linux