Сайт Noptrix
представил действующую уязвимость в Skype.
Затронутое программное обеспечение: Skype <=5.5.0.113
Затронутые платформы: Windows (XP, Vista, 7)
Skype уязвим к внедрению кода из-за отсутствия проверки входных данных и
обработки выходных данных следующих полей в профиле:
- home
- office
- mobile
Следующие HTML-коды могут быть использованы для запуска описанной уязвимости:
[+] Home Phone Number:
<b>INJECTION HERE</b>
[+] Office Phone Number:
<center><i>INJECTION HERE</i></center>
[+] Mobile Phone Number:
<a href="#">INJECTION HERE</a>
Злоумышленник может произвести внедрение HTML/Javascript. Не было проверено,
возможно ли с помощью этого украсть cookie или атаковать операционную систему.
Злоумышленник может попытаться сделать это используя внешние файлы .js.
