Una vulnerabilità cross-site scripting (XSS), che consente agli aggressori di dirottare le sessioni web è stata identificata in Skype. La debolezza XSS, simile a quella di maggio, è stata scoperta da un hacker armeno di nome Levent Kayan che ha notificato a Skype e resa pubblica sul suo blog. La vulnerabilità si trova nel client VoIP "mobile phone" ed è il risultato della validazione dell'input improprio in quel campo. La vulnerabilità di maggio permetteva agli utenti di ingannare i client Mac di Skype in esecuzione di codice arbitrario in quanto il client non controllava, o sterilizzava, i messaggi istantanei per assicurarsi che fossero liberi da codice maligno. Skype aveva reso noto sul suo blog di aver reso disponibile una patch di bassa priorità. "Questo nuovo aggiornamento include alcune ulteriori aggiornamenti e correzioni di bug", si legge. Al momento, l'hacker armeno ingegnere di sicurezza di "noptrix", ha affermato nella notte di Mercoledì che una vulnerabilità XSS simile esiste altrove nel software di Skype.
Levent Kayan ha detto che la mancata disinfezione di alcune informazioni utente o le uscite rese nel client Skype potrebbero ancora consentire al codice di essere eseguito. Skype considera la vulnerabilità un problema minore, tuttavia sta sviluppando una patch che sarà disponibile la prossima settimana. In particolare, Kayan sostiene che "è possibile vedere le informazioni sulle sessioni di utenti remoti", in quanto un utente malintenzionato potrebbe utilizzarli per farsi passare come l'utente remoto ed effettuare chiamate sul proprio account. La falla permetterebbe a chiunque di dirottare l'account dei propri contatti, inserendo una stringa di codice nel campo "cellulare" dell'utente. Fino a quando Skype non pubblicherà un fix, Kayan suggerisce agli utenti di essere prudenti eseguendo il programma all'interno di una macchina virtuale sul proprio computer. Oltre a questo, egli consiglia di "Non aggiungere contatti, tranne gli amici. Ma anche gli amici possono essere sfruttati".
Nessun commento:
Posta un commento