Aviv Raff felfedezte, hogy a Skype az Internet Explorer Helyi Zónájában rendereli a külső (Skype partner) HTML oldalakat, ami a lehetőségek széles tárházát (Cross-Zone Scripting) nyitja meg onnantól kezdve, hogy ezen oldalak valamelyikében bármilyen egyszerű hibát találnak. És találnak.
Miroslav Lučinskij például a DailyMotionben fedezett fel perzisztens XSS sebezhetőséget, így az innen belinkelt videók mellé mindenféle gonosz szkripteket kaphatunk a nyakunkba, amelyek ráadásul korlátozás nélkül futhatnak a helyi kontextusban, kódfuttatsra adva ezáltal lehetőséget:
Miroslav Lučinskij például a DailyMotionben fedezett fel perzisztens XSS sebezhetőséget, így az innen belinkelt videók mellé mindenféle gonosz szkripteket kaphatunk a nyakunkba, amelyek ráadásul korlátozás nélkül futhatnak a helyi kontextusban, kódfuttatsra adva ezáltal lehetőséget:
A sebezhetőség kihasználásához felhasználói beavatkozás is kell, de mint tudjuk egy kis social engineering csodákra képes. Legyen tehát az az irányelv, hogy nem nézegetünk távoli forrásokat Skype-on, amíg nem jön ki a javítás*!
* Az, hogy a DailyMotiont javítják még nem garantál semmit: ki tudja hány kihasználható hiba van még kinnt a netdzsungelben...
