إكتشاف ثغرة XSS خطيرة في برنامج Skype للمحادثة تمكن المهاجم من تشغيل كود جافاسكريبت بجهاز الشخص المستهدف مما قد يؤدي لسرقة حسابه عن طريق سحب الكوكيز أو حتى إختراق الجهاز كاملاً في بعض الحالات.
في خبر نشر في موقع H-Online إكتشف أحد الباحثين الأمنيين Levent Kayan ثغرة خطيرة في برنامج Skype من نوع XSS أصابت الإصدار 5.3.0.120 وما قبله من برنامج سكايب الخاص بأنظمة ويندوز كذلك الإصدار 10.6.8 وما قبله في نظام Mac OS X. الإصدار الخاص بأنظمة GNU/Linux غير مصاب بهذه الثغرة.
تمكن الثغرة المهاجم من حقن كود جافاسكريبت مكان رقم الموبايل مما يؤدي لتشغيله في أجهزة الأشخاص الموجودين في قائمة المتصلين بشكل تلقائي. تشغيل كود جافاسكريبت يعني وصول للكوكيز مما قد يؤدي لسرقة الحساب أو ما يعرف بـ Session hijacking أو الأسوء جعل جهاز الشخص المستهدف يقوم بتنفيذ عمل ما في بعض الحالات قد يؤدي لاختراقه.
الباحث الأمني ذكر أنه أبلغ شركة سكايب قبل "يومين" عن الثغرة وحتى الآن لا يوجد ترقيع لها وإن كنت من مستخدمي نظام ويندوز أو ماك أنصحك ألا تستخدم البرنامج قبل إصدار تحديث أو على الأقل تأكد من الأشخاص الموجودين في قائمة الإتصال لديك.
رغم أننا في iSecur1ty نؤيد فكرة النشر الكامل للمعلومات لكن ليس بهذا الشكل الذي سيعرض عدد كبير من المستخدمين للخطر! إن كان النشر مسؤولاً فيجب إعطاء فرصة للشركة حتى تصدر تحديث وتنبيه المستخدمين أولاً وبعد إعلام الشركة أو في حال تجاهلت ذلك يتم نشر المعلومات.
الثغرة فعلاً خطيرة خصوصاً لبرنامج منتشر جداً مثل Skype. حتى الآن لم أقم بأي تجارب على الثغرة بعد.. ربما لحسن حظ الأشخاص الموجودين في قائمة الإتصال لدي!
تفاصيل الثغرة: skype_xss.txt
في خبر نشر في موقع H-Online إكتشف أحد الباحثين الأمنيين Levent Kayan ثغرة خطيرة في برنامج Skype من نوع XSS أصابت الإصدار 5.3.0.120 وما قبله من برنامج سكايب الخاص بأنظمة ويندوز كذلك الإصدار 10.6.8 وما قبله في نظام Mac OS X. الإصدار الخاص بأنظمة GNU/Linux غير مصاب بهذه الثغرة.
تمكن الثغرة المهاجم من حقن كود جافاسكريبت مكان رقم الموبايل مما يؤدي لتشغيله في أجهزة الأشخاص الموجودين في قائمة المتصلين بشكل تلقائي. تشغيل كود جافاسكريبت يعني وصول للكوكيز مما قد يؤدي لسرقة الحساب أو ما يعرف بـ Session hijacking أو الأسوء جعل جهاز الشخص المستهدف يقوم بتنفيذ عمل ما في بعض الحالات قد يؤدي لاختراقه.
الباحث الأمني ذكر أنه أبلغ شركة سكايب قبل "يومين" عن الثغرة وحتى الآن لا يوجد ترقيع لها وإن كنت من مستخدمي نظام ويندوز أو ماك أنصحك ألا تستخدم البرنامج قبل إصدار تحديث أو على الأقل تأكد من الأشخاص الموجودين في قائمة الإتصال لديك.
رغم أننا في iSecur1ty نؤيد فكرة النشر الكامل للمعلومات لكن ليس بهذا الشكل الذي سيعرض عدد كبير من المستخدمين للخطر! إن كان النشر مسؤولاً فيجب إعطاء فرصة للشركة حتى تصدر تحديث وتنبيه المستخدمين أولاً وبعد إعلام الشركة أو في حال تجاهلت ذلك يتم نشر المعلومات.
الثغرة فعلاً خطيرة خصوصاً لبرنامج منتشر جداً مثل Skype. حتى الآن لم أقم بأي تجارب على الثغرة بعد.. ربما لحسن حظ الأشخاص الموجودين في قائمة الإتصال لدي!
تفاصيل الثغرة: skype_xss.txt
