• Skype Confirma Vulnerabilidade XSS em Aplicativo para iPhone

    Uma falha XSS na versão para iPhone e iPad do cliente Skype, em combinação com uma configuração incorreta no WebKit, permite que um atacante acesse diretamente os arquivos no dispositivo, incluindo o address book do usuário. O bug XSS em si é uma codificação incorreta de "Full Name" do usuário, que permite que o código JavaScript seja incorporado.

    O problema se torna ainda mais grave, ​​pela forma como o Skype utiliza o navegador WebKit; os desenvolvedores do Skype definiram o esquema de URI para o browser incorporado para "file://". Este erro permite que um atacante acesse o sistema de arquivos, e leia qualquer arquivo que o aplicativo permitido, incluindo o sandbox iOS. Em uma demonstração de bugs, Phil Purviance, pesquisador de segurança da AppSec Consulting, mostrou como foi possível extrair o address book do iPhone, utilizando as vulnerabilidades encontradas.

    Em face disso, Purviance informou ao Skype a questão da falha no dia 24 de agosto, e recebeu a resposta de que uma atualização seria liberada para corrigir o problema, logo no começo de setembro. Skype já confirmou que há um problema sério, e disse a mídia que todos estão trabalhando duro para resolver este problema relatado, no próximo lançamento planejado.


    Saiba Mais:

    [1] XSS in Skype for iOS https://superevr.com/blog/2011/xss-in-skype-for-ios/
    [2] Heise On-line http://www.h-online.com/security/new...p-1346284.html

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L