wildlife

Skype mit XSS Vulnerability

von Torsten Feld // July 14th, 2011 // IT, Security //

Gestern ist eine persistente Cross-Site Scripting Schwachstelle in Skype Clients mit Version 5.3.0.120 und älter gefunden worden. Die Vulnerability wurde scheinbar von noptrix.net entdeckt. Noptrix.net wurde 2009 gegründet und hat sich als Ziel gesetzt, Computer und Network-security relevante Informationen zu veröffentlichen.

Bei der Vulnerability selbst wird das "mobile phone" Inputfield im Profil nicht ausreichend geprüft. Auch andere Eingabefelder könnten betroffen sein. Um die Schwachstelle zu triggern, muss der Java Payload in das o.g. Feld eingefügt werden. Als Proof of Concept (PoC) kann der folgende Code genutzt werden:

Bei der Ausnutzung, könnte ein Angreifer relativ einfach Session ID von Remotebenutzern 'hijacken' und somit die Anzahl der Angriffsvektoren steigern, um weitere Software oder das OS zu kompromittieren.

 


  • Kaioo

    Sorry, da muss ich euch leider enttäuschen ... da war wohl jemand um einiges schneller als ihr mit der Deklarierung der Schwachstelle ;) habe beide vergleicht ... seine is um einiges besser ^^

    http://www.vulnerability-lab.com/upcoming.php

    V R 2011-07-08 Skype 5.3.x 2.2.x 5.2.x - Persistent Software Vulnerability Remote 94 Vulnerability-Lab Team

  • http://www.pc-service-langen.de Chiplevel

    Nächste Woche will Skype einen Patch veröffentlichen, der diesen Fehler beseitigt.

  • http://www.replicascene.de/ ReplicaScene.de

    Oh man ich frage mich immer wie bei größeren Firmen immer wieder solche Sicherheitslücken auftauchen können. QA gibts heutzutage wohl nicht mehr...

    • http://www.garagenshop.de Mark

      QA? Ich glaube es liegt daran, dass zu viele Köche den Brei verderben. In großen Firmen mischen meistens viele Leute mit. Und solange alles nach Plan läuft kann auch alles glatt gehen. Aber sobald es eine Unregelmäßigkeit, eine Krankheit oder so gibt, und jemand etwas übernehmen muss, was er nicht 100 prozentig kann, entstehen Lücken und aus den Lücken können große Fehler werden, die am Ende jedem auffallen. Es ist eben einfach menschlich.

  • http://www.abenteuershop.de Lars

    Auch durch die beste QA schleichen sich Fehler und Bugs. Das ist immer so gewesen und wird auch immer so bleiben.

    • http://www.stromtarife.com Thomas

      Eben. Fehler passieren, und sie passieren überall. Da ist Software keine Ausnahme. Es ist bekannt geworden, es wird gefixed. Viel mehr kann man nicht erwarten.

  • http://de.fibogroup.com/ Alex Cross

    Ich habe folgern daraus ein paar der Artikel auf Ihrer Webseite trendy, und ich auf jeden Fall gerne Ihren guten Geschmack des Bloggens. Ich habe es zu meinen Favoriten trap Zeitraum Dienstplan und Testament werden uberpruft stehen hinter bald. Umleiten enthalten in der richtigen Reihenfolge meiner legte als hoch und lassen Sie mich vertraut sein mit dem, was Sie denken. Dank

  • http://kuhlschrank.org/ Mark

    So was jetzt mit Skype zu machen?

  • http://seamspace.blogspot.com Sebastian

    Irgendwann trifft es sowieso jeden. Ich glaube kein Unternehmen bleibt über Jahre unangreifbar. Irgendwo tut sich am Ende doch eine Lücke auf.

  • http://www.spieleimperium.de Spiele

    Naja bei Skype gab es ja schon einige Vorfälle mit Sicherheitslücken, da müssten die ja schon etwas aufpassen.