elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Cross-site scripting en Skype
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cross-site scripting en Skype  (Leído 3,997 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.663



Ver Perfil WWW
Cross-site scripting en Skype
« en: 16 Julio 2011, 01:03 am »

Levent Kayan (noptrix), ha reportado una vulnerabilidad de cross-site scripting permanente en Skype que afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o teléfonos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X.

Como todos los cross-site scripting, el error está causado por una falta de validación de los datos introducidos en la entrada del perfil "Mobile phone". Esto permite a un atacante remoto obtener el identificador de sesión de la víctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la función onload de javascript. Afirma que avisará a Skype del problema, por tanto no existe parche oficial disponible.

José Ignacio Palacios
 jipalacios@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4647


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Cross-site scripting en Skype
« Respuesta #1 en: 16 Julio 2011, 03:10 am »

No tenía ni idea de que usaran HTML para mostrar los datos de los perfiles  :-X


Pero esto me recuerda a un fallo de 'Pando' que encontré que nunca publiqué...

Mal por Skype...


En línea




.:WindHack:.

Desconectado Desconectado

Mensajes: 167

Prisionero de mi propia mente...


Ver Perfil WWW
Re: Cross-site scripting en Skype
« Respuesta #2 en: 16 Julio 2011, 04:25 am »

Acá está la PoC... http://www.noptrix.net/tmp/skype_linux.ogv
En línea

Follow me on Twitter: @windhack | Visit my website: www.daw-labs.com

"The only thing they can't take from us are our minds."
Nakp
casi es
Ex-Staff
*
Desconectado Desconectado

Mensajes: 6.336

he vuelto :)


Ver Perfil WWW
Re: Cross-site scripting en Skype
« Respuesta #3 en: 17 Julio 2011, 17:21 pm »

jajaja.. esperen que algún fanboy lea la noticia y venga a decir que es culpa de M$ :xD
En línea

Ojo por ojo, y el mundo acabará ciego.
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Cross-site scripting en Skype
« Respuesta #4 en: 18 Julio 2011, 12:35 pm »

jajaja.. esperen que algún fanboy lea la noticia y venga a decir que es culpa de M$ :xD

Es culpa de microsoft.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cross Site Scripting (XSS)
Nivel Web
yeikos 3 6,520 Último mensaje 28 Mayo 2007, 05:59 am
por Man-In-the-Middle
Cross Site Scripting en Myspace.com
Nivel Web
keype 6 4,564 Último mensaje 26 Abril 2007, 18:15 pm
por Crack_X
Cross Site Scripting « 1 2 »
Nivel Web
berni69 11 7,860 Último mensaje 20 Julio 2007, 16:24 pm
por Tengu
Cross Site Scripting
Nivel Web
pelonms7 6 5,915 Último mensaje 7 Marzo 2011, 03:20 am
por pelonms7
Security Series. XSS. [Cross Site Scripting]
Nivel Web
@XSStringManolo 6 24,300 Último mensaje 1 Enero 2023, 07:24 am
por Maquiavela
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines