Новая уязвимость Skype и Facebook

Недавнее обновление программы «Skype 5.5» работающее под операционной системой «Windows», содержит серьёзные уязвимости в безопасности, которые позволяют злоумышленникам получать контроль над счетами «Skype», это заключение вынес эксперт по безопасности Дэвид Виейра-Курц, сообщает «Word-IT».

Обновление обещает тесную интеграцию с социальной сетью «Facebook» — к примеру, с помощью этой интеграции Вы сможете отслеживать деятельность Ваших друзей на сайте «Facebook» прямо из Вашего клиента «Skype», а также размещать свои сообщения на стену социальной сети «Facebook». Но оказывается, что этот процесс влечёт за собой реальную опасность безопасности, потому что клиент «Skype» выполняет «JavaScript» код в сообщениях «Facebook» без какой-либо фильтрации.

Таким образом, злоумышленник может захватить учётную запись «Skype» пользователя и следовательно «Skype» сессии этого пользователя.

Ребята из «Heise Security» смогли протестировать данную проблему. Преступнику и жертве даже не нужно быть друзьями на «Facebook» и успех всё равно будет обеспечен, потому что исполняемый «JavaScript» код также выполняется на «Facebook», где каждый как правило, имеет доступ для создания учётной записи. Напомним вам, что всего лишь две недели назад, подобный межсайтовый скриптинг сделал программу «Skype» полностью уязвимой.

«Skype» подтвердила, что она уже работает над решением данной проблемы. Тем не менее, уязвимость не была исправлена в обновлении программы до версии 5.5. Данная опасность имеется не только в текущей версии 5.5, но и в версии 5.3, в которой также содержится неисправная интеграция с социальной сетью «Facebook».