Откриха критична уязвимост в Skype

Независими експерти по информационна безопасност съобщиха за откриването на сериозна уязвимост в популярната система за интернет телефония Skype. Откритата XSS уязвимост позволява паролата за достъп на конкретния потребител в Skype да бъде сменена. От Skype заявиха, че са наясно с проблема и работят над обновление, в което той ще бъде отстранен. То ще се появи през следващата седмица.

Германският IT консултант Левент Каян съобщи в своя блог, че е открил проблема в сряда, а в четвъртък е уведомил Skype за него. Според него, проблемът се дължи на грешка в скрипта, обработващ полето за въвеждане на мобилния телефон на потребителя. Каян е написал малък скрипт, който може да бъде поставен в полето за въвеждане мобилния телефон.

Когато някой от потребителите в списъка с контакти се появява онлайн, злонамереният потребителски профил се обновява и JavaScript му позволява да промени данните на другия потребител. По този начин потребителят може да смени нечия парола или други данни на съответния ползвател на Skype.

Впрочем, атаката е свързана с известни трудности. Една от тях е, че всеки от двамата потребители трябва да бъде в списъка с контакти на другия, а освен това атаката невинаги сработва, когато потенциалната жертва влиза онлайн. Според Каян, понякога жертвата трябва няколко пъти да влезе онлайн и да излезе офлайн, преди да се създадат условия за промяната на личните й данни. В крайна сметка, обаче, уязвимостта все още съществува, казва експертът.

По думите на Каян, Skype трябва да засили проверките на входните параметри в полето за въвеждане на мобилния телефон на потребителя и да забрани изпълнението на какъвто и да било изпълним код там. Известно е, че бъгът присъства в последната версия на Skype за Windows и Mac.