Свободные эксперты по справочной безопасности рассказывают об обнаружении солидной уязвимости в распространенной системе интернет-телефонии Skype. Обнаруженная XSS-уязвимость дает возможность поменять пароль в Skype для точного клиента. В Skype рассказывают, что они в курсе неприятности и работают над корректированием, которое должно выходить на грядущей неделе.

Германский ИТ-консультант Левент Каян в собственном сайте (http://www.noptrix.net/advisories/skype_xss.txt) говорит, что он нашел неприятность в четверг, в понедельник осведомил о ней Skype. Согласно его заявлению, неприятность состоит в погрешности скрипта, обрабатывающем поле для ввода смартфона клиента. Каян сообщил незначительный script, который можно воткнуть в поле ввода смартфона.

Когда один из клиентов в контакт-листе выходит в он-лайн, умышленный пользовательский профиль обновляется и JavaScript дает возможность обновить данные иного клиента. Так что клиент может поменять чей-либо пароль в Skype либо поменять какие-нибудь иные данные.

Тем не менее, у атаки есть и определенные проблемы. Одна из них состоит в том, что клиенты должны располагаться в контакт-листах друг дружку, также атака далеко не всегда включается, когда жертва выходит в он-лайн, время от времени жертве нужно 3 раза выходить и входить в Skype. Но в итоге слабость все же включается, говорит специалист.

Согласно заявлению Каяна, Skype нужно ужесточить проверку поступающих характеристик в поле смартфона и запретить там исполнение любого выполняемого кода. Известно, что баг находится в заключительной версии Skype под Виндоус и Mac.