Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/09/2011
Vulnerabilitat XSS en Skype per a iOS
Esta vulnerabilidad permite la ejecución de código Javascript y, junto con una errónea configuración del navegador integrado, la captura del archivo de direcciones.La vulnerabilidad XSS se encuentra en el campo "Full Name" del archivo HTML local que muestra los mensajes de chat de otros usuarios de Skype y permite ejecutar código malicioso JavaScript al visualizar uno de estos mensajes.
Además de esto, el esquema de URI del navegador webkit que incluye Skype es "file://", lo que permite a un atacante acceder a cualquier archivo al que tenga acceso la aplicación. Aunque esta vulnerabilidad está mitigada por la sandbox de iOS, el atacante podría acceder, entre otros archivos, a la libreta de contactos.
El investigador que ha descubierto esta vulnerabilidad muestra en un vídeo como, aprovechando ambas vulnerabilidades, puede obtener la libreta de contactos de un usuario que abre un mensaje de chat malicioso de Skype.
Dispositivos iPhone e iPod Touch con Skype 3.0.1, o versiones anteriores, instalado.
Referències:None
Solució:Hasta que el fabricante publique una actualización, se recomienda visualizar mensajes de chat de Skype únicamente de contactos de confianza.
Notes:https://superevr.com/blog/2011/xss-in-skype-for-ios/
http://www.youtube.com/watch?v=Ou_Iir2SklI
http://www.h-online.com/security/news/item/Skype-confirms-XSS-vulnerability-in-iPhone-app-1346284.html