• Skype: Vulnerabilidade XSS Permite Injeção de Código Malicioso

    Segundo informaões repassadas por um pesquisador alemão, uma falha Cross-Site Scripting (XSS) na última versão do Skype, a 5.5.0.113 para sistemas Windows, pode permitir que crackers injetem um código malicioso em sessões de telefone dos usuários, podendo no final até mesmo seqüestrar seus computadores.

    A vulnerabilidade que foi encontrada no Skype, se deve a uma falta de validação e sanitização output relacionados ao perfil para o número de casa, escritório e números de telefones móveis, diz o pesquisador. Apesar de todas essas evidências, a Skype negou que a vulnerabilidade realmente possa existir.

    O pesquisador insistiu na veracidade de suas descobertas, afirmando que eles usam HTML para incorporar todas as entradas no perfil do Skype dos usuários. O "parser" não estaria validando a entrada, então houve a possibilidade de injetar código HTML.

    Ele diz também, que o ataque é executado uma vez que um usuário faz check-out em um perfil, com o código malicioso embutido nas entradas desse perfil em questão. O código injetado pode ser um comando JavaScript malicioso ou mesmo um hyperlink para um site; a partir desse momento, o usuário é infectado.


    Saiba Mais:

    [1] The Register http://www.theregister.co.uk/2011/08..._security_bug/