Cross-Site Scripting nella chat di Skype
È stata rilevata in seguito ad alcuni test una vulnerabilità di tipo cross-site scripting presente nella “Chat messaggi” di Skype 3.0.1 e versioni precedenti per dispositivi iPhone e iPod Touch.
Skype utilizza un file HTML memorizzato nel client per visualizzare i messaggi di chat da altri utenti Skype, ma non riesce a codificare correttamente gli utenti in entrata, permettendo ad un malintenzionato di inserire codice JavaScript che viene eseguito quando la vittima visualizza il messaggio.
iOS lascia che la rubrica sia accessibile a qualsiasi programma e quindi dato il problema sopra descritto di Skype il rischio che tali informazioni possano essere sottratte da malintenzionati si farebbero molto elevate.
Come potete immaginare questa vulnerabilità potrebbe portare a potenziali “disastri”. Diciamo che la “colpa” del bug questa volta non è per intero della nuova proprietà di Skype (Microsoft) ma risulta in parte essere del sistema iOS. Speriamo che a breve venga risolto il problema e che l’applicazione possa tornare fruibile e sicura per tutti gli utenti.
Da questo link possiamo vedere la dimostrazione della vulnerabilità descritta in questo articolo
[fonte: superevr.com]
