Levent Kayan perzisztens Cross-Site Scripting hibát fedezett fel a népszerű kommunikációs szoftver aktuális verzióiban. A felhasználói profil mobil telefonszám mezőjének szűrése nem megfelelő, így az ide helyezett kliens oldali szkriptek a profilinformációk frissülése után minden bejelentkezéskor lefutnak a rosszindulatú felhasználó ismerőseinek számítógépén.
A hiba alapvetően a Skype szolgáltatáson belüli parancsvégrehajtásra adhat lehetőséget, de egy hasonló támadás nem régiben az operációs rendszer fájljaihoz is hozzáférést engedett a same-origin policy figyelmen kívül hagyása miatt - ez utóbbi hibát azóta már javították (thx woFF!).
A Skype egyelőre nem reagált a hírekre.
A Skype (Microsoft?) megerősítette a probléma létezését, javítást jövő hétre ígérnek. Szerintük a probléma kevésbé súlyos, mivel a rosszindulatú kód csak akkor fut le, ha a támadó az áldozat gyakori partnerei között szerepel, valamint a beszúrt kódokkal követlenül nem lehet parancsokat végrehajtani az alkalmazásban.
