Недавно выпущенная версия Skype 5.5, по заявлению эксперта информационной безопасности Дэвида Вейра-Курза (David Vieira-Kurz), содержит серьезную XSS-уязвимость в технологии интеграции Facebook в Skype. Нововведение позволяет пользователям Skype установить привязку к своему аккаунту Facebook, что обеспечивает возможность мониторинга активности социальной сети, без необходимости посещать её веб-сайт. Однако, недостаточная проверка входных данных на стороне Skype стала причиной возникновения очередной уязвимости. Похожая уязвимость уже была обнаружена ранее в Skype версии 5.3, тогда она оперативно была устранена разработчиками. Суть прошлой уязвимости заключалась в недостаточной проверке полей профиля пользователя. Но, судя по всему, устранение прошлой уязвимости имело адресный характер и не затрагивало весь механизм фильтрации получаемого Facebook-трафика. Так, новая уязвимость также позволяет злоумышленникам выполнить произвольный Javascript-код в контексте приложения и получить доступ к информации об активной сессии Skype. Полученная информация может быть использована для полного контроля учетной записи скомпрометированного пользователя Skype. Источником вредоносного Javascript-кода могут стать как ленты статусов друзей, так и любое сообщение из открытой группы, в которой состоит пользователь. Разработчики Skype подтвердили наличие уязвимости в двух последних версиях Skype 5.5 и 5.3, а также заявили, что работают над устранением уявзимости, и в скором времени представят очередное обновление безопасности.
Друзья: Всё для вебмастера | [ Реклама на форуме ] |
[ DDos Услуги. DDos атака. Заказать ДДос ] |
0
Интеграция Facebook в Skype стала причиной очередной уязвимости
Автор
$iD
, 29 Jul 2011 20:18
#1
Отправлено 29 July 2011 - 20:18
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных