Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Skype XSS

2011.07.15. 17:27 | buherator | Szólj hozzá!

Levent Kayan perzisztens Cross-Site Scripting hibát fedezett fel a népszerű kommunikációs szoftver aktuális verzióiban. A felhasználói profil mobil telefonszám mezőjének szűrése nem megfelelő, így az ide helyezett kliens oldali szkriptek a profilinformációk frissülése után minden bejelentkezéskor lefutnak a rosszindulatú felhasználó ismerőseinek számítógépén. 

A hiba alapvetően a Skype szolgáltatáson belüli parancsvégrehajtásra adhat lehetőséget, de egy hasonló támadás nem régiben az operációs rendszer fájljaihoz is hozzáférést engedett a same-origin policy figyelmen kívül hagyása miatt - ez utóbbi hibát azóta már javították (thx woFF!).

A Skype egyelőre nem reagált a hírekre.

A Skype (Microsoft?) megerősítette a probléma létezését, javítást jövő hétre ígérnek. Szerintük  a probléma kevésbé súlyos, mivel a rosszindulatú kód csak akkor fut le, ha a támadó az áldozat gyakori partnerei között szerepel, valamint a beszúrt kódokkal követlenül nem lehet parancsokat végrehajtani az alkalmazásban.

Címkék: skype xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.