Written by: thempra on 22/08/2011 @ 00:35

Recién salido del horno, se ha publicado un Zero Day de Skype, viendose afectadas la version sobre plataforma Windows XP, Vista, 7. Dicho fallo implica que un usuario con malas intenciones puede definir un código malintencionado en algunos de sus campos, y al leer esta información, la aplicación de la victima lo interpretará.

 

 

Para comprobar la veracidad de este fallo, podeis incluir el siguiente código en las distintas secciones, y como veis, la propia aplicación reconoce los tags que el usuario malicioso ha insertado.

Home Phone Number:
<b>INJECTION HERE</b>

Office Phone Number:
<center><i>INJECTION HERE</i></center>

Mobile Phone Number:
<a href=”#”>INJECTION HERE</a>

 

A partir de aqui queda en manos en la imaginacion del atacante. Esta información se publica con la intención para que el usuario final este precavido y tome las medidas oportunas, dado que Skype aun no ha solventando este problema.

La nota del advisor ha sido publicada en:

http://www.noptrix.net/advisories/skype_inject.txt

 

Catogories: Bugs, Skype