ALERTAS | Noticias | 19 JUL 2011

Descubierta una peligrosa vulnerabilidad en Skype

Un consultor especializado en seguridad ha notificado a Skype la existencia de un fallo de scripting de sitios cruzados que podría explotarse para cambiar la contraseña de los usuarios.
Marta Cabanillas

Levent Kayan, el consultor alemán que ha informado a Skype de la existencia del fallo de seguridad en su sitio, publicó el miércoles pasado los detalles de la vulnerabilidad e informó a la compañía un día después. Asegura que el viernes no había recibido aún respuesta alguna respecto al asunto.

El problema reside en un campo donde los usuarios de Skype pueden introducir su número de teléfono móvil. Según Kayan, los atacantes pueden insertar JavaScripts en el campo. Después, cuando uno de los contactos del usuario entra online, el perfil del usuario malicioso es actualizado, y el JavaScript se ejecuta.

Kayan explica que la sesión de la otra persona puede a continuación ser secuestrada y resultar secuestrado su ordenador. Además, el atacante podría también cambiar la contraseña de su cuenta.

No obstante existen algunos requisitos para que la vulnerabilidad sea explotable. En primer lugar, el atacante y la víctima deben ser “amigos” en Skype, y, además, el ataque no se ejecuta de forma automática cuando la víctima se autentica, sino que tiene que hacerlo varias veces. Pero cuando ya se ha disparado el mecanismo, lo hará siempre que vuelva a autenticarse.



TE PUEDE INTERESAR...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios