Skype cuestiona gravedad de una vulnerabilidad XSS

1 2 3 4 5 6

Volver a listado de noticias

Últimas Noticias

Wikipedia estará fuera de línea en protesta por ley estadounidense 17-Ene-2012
Hackers difunden malware en sitios de juego para niños 17-Ene-2012
Protege tu cuenta de Facebook del último ataque de intrusión 17-Ene-2012
Revelan nombres de los desarrolladores de Koobface 17-Ene-2012

Skype cuestiona gravedad de una vulnerabilidad XSS

Softpedia 23-Ago-2011

Skype refuta la gravedad de una nueva vulnerabilidad de cross-site scripting identificada en su cliente de VoIP y alega que no puede utilizarse más que para cambiar el aspecto del texto.

La vulnerabilidad fue descubierta por un investigador de seguridad armenio llamado Levent Kayan, también conocido como noptrix, quien recientemente identificó defectos similares en clientes de mensajería instantánea.

"Skype sufre de una vulnerabilidad de inyección de código persistente debido a la falta de validación de entradas y a la saneación de salidas en las siguientes entradas de perfil: home, office, mobile", explica el investigador en su asesoramiento.

Un atacante puede explotar la vulnerabilidad para inyectar código JavaScript o HTML en un perfil de Skype, con consecuencias aún por determinar. Por lo menos, el atacante podría incluir un enlace malicioso y animar a los usuarios a hacer clic sobre él.

Skype afirma que el impacto del error es muy limitado y tiene poca o ninguna consecuencia en la seguridad. “Hemos recibido este reporte por diversos medios de comunicación y hemos confirmado que la persona se equivoca, esto no es una ventana de Internet , pues sólo causa que un número telefónico sea subrayado, no hace otra cosa más que eso" dijo una portavoz.

Créditos:Softpedia

Kayan respondió haciendo hincapié en que cualquier etiqueta HTML que pueda insertarse en los campos vulnerables del perfil, no sólo puede usarse para vincular texto. Señaló además, que esta vulnerabilidad se encuentra en el mismo campo que otra persona informó a Skype en julio.

Parece que en lugar de reparar el fallo anterior directamente en el cliente mediante el bloqueo de entrada HTML en los campos de perfil, la empresa optó por sanear la salida del servidor.

"¿Tiene sentido que los usuarios puedan 'insertar' código HTML en su perfil de Skype y, sobre todo, en los campos del 'número de teléfono'-”, se pregunta el investigador. Parece que no, porque en Windows y Mac esto no es posible. Sólo el cliente de Skype para Linux permite esta funcionalidad.

Fuente: Softpedia AAD/GC

Volver a listado de noticias