wildlife

Skype mit XSS Vulnerability

von Torsten Feld // July 14th, 2011 // IT, Security //

Gestern ist eine persistente Cross-Site Scripting Schwachstelle in Skype Clients mit Version 5.3.0.120 und älter gefunden worden. Die Vulnerability wurde scheinbar von noptrix.net entdeckt. Noptrix.net wurde 2009 gegründet und hat sich als Ziel gesetzt, Computer und Network-security relevante Informationen zu veröffentlichen.

Bei der Vulnerability selbst wird das "mobile phone" Inputfield im Profil nicht ausreichend geprüft. Auch andere Eingabefelder könnten betroffen sein. Um die Schwachstelle zu triggern, muss der Java Payload in das o.g. Feld eingefügt werden. Als Proof of Concept (PoC) kann der folgende Code genutzt werden:

Bei der Ausnutzung, könnte ein Angreifer relativ einfach Session ID von Remotebenutzern 'hijacken' und somit die Anzahl der Angriffsvektoren steigern, um weitere Software oder das OS zu kompromittieren.

 


10 Responses to “Skype mit XSS Vulnerability”

  1. Kaioo says:

    Sorry, da muss ich euch leider enttäuschen ... da war wohl jemand um einiges schneller als ihr mit der Deklarierung der Schwachstelle ;) habe beide vergleicht ... seine is um einiges besser ^^

    http://www.vulnerability-lab.com/upcoming.php

    V R 2011-07-08 Skype 5.3.x 2.2.x 5.2.x - Persistent Software Vulnerability Remote 94 Vulnerability-Lab Team

  2. Chiplevel says:

    Nächste Woche will Skype einen Patch veröffentlichen, der diesen Fehler beseitigt.

  3. Oh man ich frage mich immer wie bei größeren Firmen immer wieder solche Sicherheitslücken auftauchen können. QA gibts heutzutage wohl nicht mehr...

    • Mark says:

      QA? Ich glaube es liegt daran, dass zu viele Köche den Brei verderben. In großen Firmen mischen meistens viele Leute mit. Und solange alles nach Plan läuft kann auch alles glatt gehen. Aber sobald es eine Unregelmäßigkeit, eine Krankheit oder so gibt, und jemand etwas übernehmen muss, was er nicht 100 prozentig kann, entstehen Lücken und aus den Lücken können große Fehler werden, die am Ende jedem auffallen. Es ist eben einfach menschlich.

  4. Lars says:

    Auch durch die beste QA schleichen sich Fehler und Bugs. Das ist immer so gewesen und wird auch immer so bleiben.

    • Thomas says:

      Eben. Fehler passieren, und sie passieren überall. Da ist Software keine Ausnahme. Es ist bekannt geworden, es wird gefixed. Viel mehr kann man nicht erwarten.

  5. Alex Cross says:

    Ich habe folgern daraus ein paar der Artikel auf Ihrer Webseite trendy, und ich auf jeden Fall gerne Ihren guten Geschmack des Bloggens. Ich habe es zu meinen Favoriten trap Zeitraum Dienstplan und Testament werden uberpruft stehen hinter bald. Umleiten enthalten in der richtigen Reihenfolge meiner legte als hoch und lassen Sie mich vertraut sein mit dem, was Sie denken. Dank

  6. Mark says:

    So was jetzt mit Skype zu machen?

  7. Sebastian says:

    Irgendwann trifft es sowieso jeden. Ich glaube kein Unternehmen bleibt über Jahre unangreifbar. Irgendwo tut sich am Ende doch eine Lücke auf.

  8. Spiele says:

    Naja bei Skype gab es ja schon einige Vorfälle mit Sicherheitslücken, da müssten die ja schon etwas aufpassen.

Leave a Reply