Немецкий консультант Левент Каян обнаружил в программном обеспечении Skype уязвимость межсайтового скриптинга, позволяющую злоумышленникам изменять пароли чужих аккаунтов. В ходе атаки код JavaScript помещается в поле, предназначенное для ввода номера мобильного телефона. При подключении пользователя из списка контактов его профиль обновляется, и код автоматически запускается. В результате злоумышленник может подключиться к сеансу пользователя, изменить пароль или даже получить контроль над его компьютером. В Skype считают, что опасность не слишком велика, поскольку возможности атакующего ограничены лишь выводом сообщений и перенаправлением пользователей на другие сайты. Кроме того, злоумышленник должен присутствовать в списке наиболее активных контактов.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF