09:15 18.07.2011 |   2510



Немецкий консультант Левент Каян обнаружил в программном обеспечении Skype уязвимость межсайтового скриптинга, позволяющую злоумышленникам изменять пароли чужих аккаунтов. Представители Skype пообещали в течение недели выпустить обновление и закрыть выявленную брешь. В ходе атаки код JavaScript помещается в поле, предназначенное для ввода номера мобильного телефона. При подключении пользователя из списка контактов его профиль обновляется, и код автоматически запускается на выполнение. В результате, злоумышленник может подключиться к сеансу пользователя, изменить пароль или даже получить контроль над его компьютером. Однако в Skype возразили, что на самом деле опасность не слишком велика, поскольку возможности атакующего ограничены лишь выводом сообщений и перенаправлением пользователей на другие сайты. Кроме того, злоумышленник должен присутствовать в списке наиболее активных контактов, что само по себе маловероятно.


Теги: Информационная безопасность