CyberComrade
16.07.2011, 01:00
Независимые специалисты по информационной безопасности говорят об обнаружении серьезной уязвимости в популярной системе интернет-телефонии Skype. Найденная XSS-уязвимость позволяет изменить пароль в Skype для конкретного пользователя. В Skype говорят, что они в курсе проблемы и работают над исправлением, которое должно выйти на будущей неделе.
Немецкий ИТ-консультант Левент Каян в своем блоге (КЛАЦ (https://hpc.name/redirector.html#http://www.noptrix.net/advisories/skype_xss.txt)) говорит, что он обнаружил проблему в среду, а в четверг уведомил о ней Skype. По его словам, проблема заключается в ошибке скрипта, обрабатывающем поле для ввода мобильного телефона пользователя. Каян написал небольшой скрипт, который можно вставить в поле ввода мобильного телефона.
Когда один из пользователей в контакт-листе выходит в онлайн, злонамеренный пользовательский профиль обновляется и JavaScript позволяет обновить данные другого пользователя. Таким образом пользователь может сменить чей-либо пароль в Skype или изменить какие-либо другие данные.
Впрочем, у атаки есть и некоторые сложности. Одна из них заключается в том, что пользователи должны находиться в контакт-листах друг друга, кроме того атака не всегда срабатывает, когда жертва выходит в онлайн, иногда жертве приходится несколько раз выходить и заходить в Skype. Однако в конечном итоге уязвимость все-таки срабатывает, говорит эксперт.
По словам Каяна, Skype необходимо ужесточить проверку входящих параметров в поле мобильного телефона и запретить там выполнение любого исполняемого кода. Известно, что баг присутствует в последней версии Skype под Windows и Mac.
Немецкий ИТ-консультант Левент Каян в своем блоге (КЛАЦ (https://hpc.name/redirector.html#http://www.noptrix.net/advisories/skype_xss.txt)) говорит, что он обнаружил проблему в среду, а в четверг уведомил о ней Skype. По его словам, проблема заключается в ошибке скрипта, обрабатывающем поле для ввода мобильного телефона пользователя. Каян написал небольшой скрипт, который можно вставить в поле ввода мобильного телефона.
Когда один из пользователей в контакт-листе выходит в онлайн, злонамеренный пользовательский профиль обновляется и JavaScript позволяет обновить данные другого пользователя. Таким образом пользователь может сменить чей-либо пароль в Skype или изменить какие-либо другие данные.
Впрочем, у атаки есть и некоторые сложности. Одна из них заключается в том, что пользователи должны находиться в контакт-листах друг друга, кроме того атака не всегда срабатывает, когда жертва выходит в онлайн, иногда жертве приходится несколько раз выходить и заходить в Skype. Однако в конечном итоге уязвимость все-таки срабатывает, говорит эксперт.
По словам Каяна, Skype необходимо ужесточить проверку входящих параметров в поле мобильного телефона и запретить там выполнение любого исполняемого кода. Известно, что баг присутствует в последней версии Skype под Windows и Mac.