Skype mit XSS Vulnerability
// July 14th, 2011 // 10 Comments » // IT, Security
Gestern ist eine persistente Cross-Site Scripting Schwachstelle in Skype Clients mit Version 5.3.0.120 und älter gefunden worden. Die Vulnerability wurde scheinbar von noptrix.net entdeckt. Noptrix.net wurde 2009 gegründet und hat sich als Ziel gesetzt, Computer und Network-security relevante Informationen zu veröffentlichen.
Bei der Vulnerability selbst wird das "mobile phone" Inputfield im Profil nicht ausreichend geprüft. Auch andere Eingabefelder könnten betroffen sein. Um die Schwachstelle zu triggern, muss der Java Payload in das o.g. Feld eingefügt werden. Als Proof of Concept (PoC) kann der folgende Code genutzt werden:
"><iframe src='' onload=alert('mphone')>Bei der Ausnutzung, könnte ein Angreifer relativ einfach Session ID von Remotebenutzern 'hijacken' und somit die Anzahl der Angriffsvektoren steigern, um weitere Software oder das OS zu kompromittieren.
