В Skype обнаружена новая XSS-уязвимость

Недавно выпущенная версия Skype 5.5, по заявлению эксперта информационной безопасности Дэвида Вейра-Курза (David Vieira-Kurz), содержит серьезную XSS-уязвимость в технологии интеграции Facebook в Skype.

Нововведение позволяет пользователям Skype установить привязку к своему аккаунту Facebook, что обеспечивает возможность мониторинга активности социальной сети, без необходимости посещать её веб-сайт. Однако, недостаточная проверка входных данных на стороне Skype стала причиной возникновения очередной уязвимости.

Похожая XSS-уязвимость уже была обнаружена ранее в Skype версии 5.3, тогда она оперативно была устранена разработчиками. Суть прошлой уязвимости заключалась в недостаточной проверке полей профиля пользователя. Но, судя по всему, устранение прошлой уязвимости имело адресный характер и не затрагивало весь механизм фильтрации получаемого Facebook-трафика.

Так, новая уязвимость также позволяет злоумышленникам выполнить произвольный javascript-код в контексте приложения и получить доступ к информации об активной сессии Skype. Полученная информация может быть использована для полного контроля учетной записи скомпрометированного пользователя Skype.



Источником вредоносного javascript-кода могут стать как ленты статусов друзей, так и любое сообщение из открытой группы, в которой состоит пользователь. Разработчики Skype подтвердили наличие уязвимости в двух последних версиях Skype 5.5 и 5.3, а также заявили, что работают над устранением уязвимости, и в скором времени представят очередное обновление безопасности.