Ziņots par Skype "noskaņojuma funkcijas" drošības ievainojamību

No Vinius, Lietuva, Interneta drošības eksperts Miroslavs Lu? inskij blogi par to, kas izklausās pēc drošības kļūdas Skype partnera funkcijā, kas saistīta ar "ļaunprātīgas" izpildes briesmām skripta saturs", izmantojot opciju "Noskaņojuma funkcija", kas pieejama kā daļa no ar to saistītās video atlases opcijas garastāvoklis.

Šis graudainais satvēriens šīs ziņas augšpusē ir graudains, jo tas ir fiksēts kadrs (lai arī kas notiktu ar J Geils Band?) YouTube video attēlojot šos apstākļus un sekas.

Lerijam šeit ir vairāk, kopā ar skaidrāku attēlu:

Tagad atpakaļ pie Miroslava, kurš pirmais par to ziņoja. Tagad jums ir vārds.

Ņem to prom, Miroslav:

Skype ir funkcija, kas ļauj lietotājam ievietot video savā noskaņojumā – video atlase tiek veikta caur skype partneriem un balstās uz parasto WEB funkcionalitāti. Tātad šī funkcija praktiski pārmanto WEB problēmas - konkrētajā gadījumā tie ir XSS uzbrukumi. Faktiski Skype drošība tagad ir atkarīga no viņu partneru vietņu drošības, jo filtrēšanai netiek veikti nekādi papildu pasākumi iespējams ļaunprātīgs saturs, kas var nākt no partneriem – dailymotion un metacafe tiek uzskatīti par uzticamiem resursiem. Tas ir nepareizi un var radīt problēmas.

Vietnē dailymotion.com varējām atrast dažus pastāvīgus XSS vektorus: videoklipiem ir lauks "Nosaukums", kas nav pareizi filtrēts un noteiktos apstākļos tiek atgriezts lietotājam. Tādējādi kļūst iespējams izpildīt ļaunprātīgu skripta saturu, kad lietotājs meklē videoklipu, lai uzlabotu savu noskaņojumu. Varat arī to pārbaudīt, Dailymotion.com video meklēšanas laukā ierakstot vārdu 'saugumas'.

Lai gan tikai neliela daļa Skype lietotāju kādreiz izmantotu šo funkciju, pat šī mazākuma daļa nevēlētos, lai ļaunprātīga skripta saturs tiktu izjaukts viņu ikdienā.