Vulnerability Team

Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o teléfonos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X.

Como todos los cross-site scripting, el error está causado por una falta de validación de los datos introducidos en la entrada del perfil "Mobile phone". Esto permite a un atacante remoto obtener el identificador de sesión de la víctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la función onload de JavaScript. Afirma que avisará a Skype del problema, por tanto no existe parche oficial disponible. Afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

SKYPE WEBSITE.

fuente: csirtcv.gva.es

La versión de Skype para Android acaba de recibir una actualización que se encarga de solucionar un reciente fallo de privacidad que permitía a aplicaciones de terceros tener acceso a información del usuario, incluyendo datos personales así como la lista de contactos y todo el historial de conversaciones almacenado.

La compañía ofreció una disculpa a los usuarios por este problema y aseguró por medio de su blog oficial que hasta este momento no han recibido ningún reporte de alguna aplicación que haya o esté aprovechando el agujero de privacidad, pero de cualquier modo asegura que seguirán muy al pendiente de toda esta situación.

Está de más decir que es una actualización urgente para todos los usuarios del cliente VoIP en Android, por lo que les recomendamos actualizar cuanto antes. La nueva nueva versión (1.0.0.983) puede ser descargar desde el Android Market.

fuente: opensecurity.es