Skype: vulnerabilità Cross-Zone Scripting

Una vulnerabilità che permette ad un attacker di eseguire codice arbitrario non autorizzato su un PC Windows con installato Skype, il popolare client VoIP, è stata isolata e dimostrata tramite PoC da alcuni ricercatori di sicurezza.

L'azienda, in un advisory dedicato e sul blog ufficiale, ha confermato che la problematica di sicurezza è legata ad un bug di Cross-site Scripting su DailyMotion, sito di video-sharing utilizzato per permettere lo scaricamento e l'aggiunta di video clip in messaggio di stato e chat.

La vulnerabilità poteva affliggere gli utenti di Skype 3.5 e 3.6 per Windows, che nella galleria video di Skype, selezionavano un video Dailymotion modificato ad arte nel titolo per sfruttare la falla. Skype ha informato di aver bloccato il vettore d'attacco lato server in modo da impedire eventuali tentativi di exploit della falla, fino ad una risoluzione completa del problema. Skype ha temporaneamente disabilitato la possibilità di aggiungere video dalla galleria Dailymotion in attesa di un fix ufficiale (resta disponibile la galleria video di Metacafe).


...continua la lettura di questa notizia.
Tweakness.net autorizza pc-facile.com a riportare la presente news.