Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad XSS en Skype para iOS

Vulnerabilidad XSS en Skype para iOS

Fecha de publicación: 
21/09/2011
Importancia: 
5 - Crítica
Recursos afectados: 

Dispositivos iPhone e iPod Touch con Skype 3.0.1, o versiones anteriores, instalado.

Descripción: 
Permite la ejecución de código Javascript y, junto con una errónea configuración del navegador integrado, la captura del archivo de direcciones.
Solución: 

Instalar la nueva versión. Se puede encontrar más información en el siguiente aviso de seguridad:

Detalle: 

La vulnerabilidad XSS se encuentra en el campo "Full Name" del archivo HTML local que muestra los mensajes de chat de otros usuarios de Skype y permite ejecutar código malicioso JavaScript al visualizar uno de estos mensajes.

Además de esto, el esquema de URI del navegador webkit que incluye Skype es "file://", lo que permite a un atacante acceder a cualquier archivo al que tenga acceso la aplicación. Aunque esta vulnerabilidad está mitigada por la sandbox de iOS, el atacante podría acceder, entre otros archivos, a la libreta de contactos.

El investigador que ha descubierto esta vulnerabilidad muestra en el siguiente vídeo como, aprovechando ambas vulnerabilidades, puede obtener la libreta de contactos de un usuario que abre un mensaje de chat malicioso de Skype:

Impacto:

  • Pérdida de información confidencial.