Image Image Image Image Image
Scroll to Top

Topo

skype 5.5.0.113

28

ago
2011

Sem Comentários

Em Blog

Por Allison

Vulnerabilidade XSS no Skype permite injeção de código malicioso

Em 28, ago 2011 | Sem Comentários | Em Blog | Por Allison

De acordo com um pesquisador alemão, uma falha Cross-Site Scripting (XSS) na última versão do Skype ( 5.5.0.113) para sistemas Windows pode permitir que crackers injetem um código malicioso em sessões de telefone dos usuários, podendo até sequestrar seus computadores.

O problema acontece devido a uma falta de validação e sanitização output relacionada ao perfil para número de casa, do escritório e números de telefones móveis, segundo o pesquisador. Apesar de todas essas evidências, o Skype negou que a vulnerabilidade realmente exista.

O pesquisador insistiu na veracidade de suas descobertas, afirmando que a empresa usa HTML para incorporar todas as entradas no perfil dos usuários do Skype. O “parser” não estaria validando a entrada, então houve a possibilidade de injetar código HTML.

Além disso, ele disse que o ataque é executado quando um usuário faz check-out em um perfil, com o código malicioso embutido nas entradas do perfil em questão. O código injetado pode ser um comando JavaScript malicioso ou um hyperlink para um site. A partir desse momento, o usuário é infectado.

Fonte: Under-Linux

Tags | , , , , ,