Descubierta vulnerabilidad XSS en Skype

by | Jul 19, 2011 | Profesional | 0 comments

Desde el jueves pasado circulaban algunas noticias sobre el descubrimiento de una Cross-site Scripting (XSS) en Skype pero, tras la confirmación oficial de la compañía y la alerta enviada por el INTECO-CERT se confirma la noticia. Levent Kayan, un consultor de seguridad de Berlín, publicó hace unos días su descubrimiento; una vulnerabilidad que permitiría (a un atacante remoto) acceder a la cuenta de un usuario (y tomar el control de la misma al cambiarle la contraseña, por ejemplo, y acceder a todos los datos de sus contactos).

El problema se encuentra en el formulario de usuario (video), el cual contiene un campo para consignar el número de teléfono móvil y en el que se puede inyectar código en JavaScript que, posteriormente, puede ser ejecutado cuando un contacto accede a la ficha “maliciosa” del usuario, momento en el que se podría tomar el control total de la cuenta y acceder a todos los datos del usuario. Visto así, está claro que tanto víctima como atacante tienen que conocerse y, por tanto, el riesgo baja un poco, pero no deja de ser una brecha importante.

Skype está trabajando en una actualización de sus clientes para solventar el problema, mientras tanto, los usuarios de Skype 5.3.0.120 y versiones anteriores para plataformas Windows y Mac OS X, deberán extremar las precauciones con la gente a la que agregan y los perfiles que visitan. Pensándolo un poco, creo que el fallo es muy grave, permitir en un campo que es numérico,la introducción de un código en JavaScript está más allá del mero despiste; algo que Skype no ha considerado así y no lo ha catalogado como incidencia crítica.

Según la respuesta oficial de Skype, encarnada en Adrian Asher, jefe de seguridad de la información de Skype:

En esencia, permite que uno de sus principales contactos en Windows le muestre mensajes o lo rediriga a páginas web dentro de la página de Skype. Con el fin de aprovecharla, esta persona tendría que ser un contacto validado suyo y uno de los más frecuentes, y por lo tanto muy poco probable que cause problemas en el mundo real, sin embargo, no debería ser así y se arreglará.

Fuente: DDSMedia y Segu-info

GRATIS – Plan de cyberseguridad para su empresa: Aquí

Obtenga nuestro portfolio de servicios: Aquí

Suscríbase a nuestro Newsletter: Aquí

Realiza su consulta cómo proteger su Negocio: Aquí

Informe a sus colegas del area de tecnología

Comparte esta información con colegas y superiores

Guarda este post para consultas

Descargue las Tendencias de cyberseguridad: Aquí

Suscribirse a nuestro canal de YouTube: Aquí

Descargue nuestras infografías: Aquí

Conozca la opinión de nuestros clientes: Aquí

Acceda a Cursos Online de entrenamiento en seguridad informática: Aquí