Интеграция Facebook в Skype стала причиной очередной уязвимости

29/07/2011 19:07

Недавно выпущенная версия Skype 5.5, по заявлению эксперта информационной безопасности Дэвида Вейра-Курза (David Vieira-Kurz), содержит серьезную XSS-уязвимость в технологии интеграции Facebook в Skype. Нововведение позволяет пользователям Skype установить привязку к своему аккаунту Facebook, что обеспечивает возможность мониторинга активности социальной сети, без необходимости посещать её веб-сайт. Однако, недостаточная проверка входных данных на стороне Skype стала причиной возникновения очередной уязвимости. Похожая уязвимость уже была обнаружена ранее в Skype версии 5.3, тогда она оперативно была устранена разработчиками. Суть прошлой уязвимости заключалась в недостаточной проверке полей профиля пользователя. Но, судя по всему, устранение прошлой уязвимости имело адресный характер и не затрагивало весь механизм фильтрации получаемого Facebook-трафика. Так, новая уязвимость также позволяет злоумышленникам выполнить произвольный JavaScript-код в контексте приложения и получить доступ к информации об активной сессии Skype. Полученная информация может быть использована для полного контроля учетной записи скомпрометированного пользователя Skype. Источником вредоносного JavaScript-кода могут стать как ленты статусов друзей, так и любое сообщение из открытой группы, в которой состоит пользователь. Разработчики Skype подтвердили наличие уязвимости в двух последних версиях Skype 5.5 и 5.3, а также заявили, что работают над устранением уявзимости, и в скором времени представят очередное обновление безопасности.
Источник