Уязвимость позволяет злоумышленнику похитить идентификатор сессии текущего пользователя.
В приложении Skype была обнаружена XSS-уязвимость, позволяющая злоумышленнику получить доступ к учетной записи текущего пользователя. По словам Левента Каяна (Levent Kayan), обнаружившего уязвимость, с ее помощью злоумышленник может также получить дополнительное преимущество при целенаправленной атаке на систему.
С помощью межсайтового скриптинга, злоумышленник может вставить в клиент Skype специально сформированный Java-сценарий. Ввиду некорректной проверки входных данных, этот сценарий может автоматически выполниться по отношению к любому пользователю, который появится в сети. С помощью Java- сценария, злоумышленник может, например, получить идентификатор сессии пользователя.
Уязвимость распространяется на клиенты Skype версии 5.3.0.120 для Windows и Mac. На клиенты Skype для Linux уязвимость не распространяется. Разработчики продукта были уведомлены о наличии уязвимости и уже занимаются ее исправлением. По официальным данным обновление безопасности будет готово до конца текущей недели. Данный инцидент имеет низкий уровень угрозы, потому что, для успешной атаки, злоумышленник должен быть добавлен в контакты своей жертвы.
От классики до авангарда — наука во всех жанрах