Noticias y Alertas
Header

Vulnerabilidad XSS en Skype para iOS

septiembre 23rd, 2011 | Posted by kwelladm in Alertas

Sistemas Afectados
Dispositivos iPhone e iPod Touch con Skype 3.0.1, o versiones anteriores, instalado.
Descripción
Permite la ejecución de código Javascript y, junto con una errónea configuración del navegador integrado, la captura del archivo de direcciones.
Solución
Hasta que el fabricante publique una actualización, se recomienda visualizar mensajes de chat de Skype únicamente de contactos de confianza.
Detalle
La vulnerabilidad XSS se encuentra en el campo “Full Name” del archivo HTML local que muestra los mensajes de chat de otros usuarios de Skype y permite ejecutar código malicioso JavaScript al visualizar uno de estos mensajes.
Además de esto, el esquema de URI del navegador webkit que incluye Skype es “file://”, lo que permite a un atacante acceder a cualquier archivo al que tenga acceso la aplicación. Aunque esta vulnerabilidad está mitigada por la sandbox de iOS, el atacante podría acceder, entre otros archivos, a la libreta de contactos.
El investigador que ha descubierto esta vulnerabilidad muestra en el siguiente vídeo como, aprovechando ambas vulnerabilidades, puede obtener la libreta de contactos de un usuario que abre un mensaje de chat malicioso de Skype:
• XSS in Skype for iOS
Impacto:
• Pérdida de información confidencial.
Referencias
• XSS in Skype for iOS

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario