Голосов: 0
В последней версии программного обеспечения Skype для операционной системы Windows обнаружена серьезная уязвимость безопасности, позволяющая атакующим вставить потенциально опасный код в пользовательскую телефонную сессию. Об этом сегодня в своем блоге сообщил немецкий специалист по ИТ-безопасности Левент Кайян.
По его словам, обнаруженный код является примером XSS-уязвимости, которая затрагивает версию Skype 5.5.0.113. Ошибка возникает из-за того, что клиентское программное обеспечение во время передачи голосовых данных по IP-сети не проверяет входящие данные, связанные с вызываемым номером абонента. Потенциальный хакер может разместить в номере абонента специально сконструированный код, который будет выполняться на машине вызываемого абонента Skype. Очевидно, что баг не срабатывает при звонке на обычные телефоны.
По словам Кайяна, в качестве злонамеренного кода атакующий может вставить собственный HTML/javascript-код. При помощи такой информации хакер может получить данные о cookie-файлах на компьютере пользователя, что предоставит ему информацию о реквизитах для авторизации на сторонних ресурсах, например в системах онлайн-банкинга.
В самой компании Skype с приведенными данными не согласны. "Мы получили информацию об этом и сейчас можем сказать, что отчет ошибочный. Диалоговое окно набора номера не является веб-окном и оно ориентировано только на набор номера", - говорит Брианна Рейно, пресс-секретарь Skype.
Впрочем, независимый специалист настаивает на своей правоте, заявляя, что в реальности неточные данные у Skype. "Данные предоставляемые компанией неверны. Все записи, передаваемые на серверы, такие как телефоны, имена и другие, передаются через HTML-формы", - говорит Кайян. Также в своем блоге они приводит скриншоты атаки.
Напомним, что в прошлом месяце этот же специалист обнаружил еще одну XSS-уязвимость. Тогда под ударом оказался контакт-лист пользователя.
Новой уязвимости, судя по всему, подвержена только Windows-версия Skype.