Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Grave vulnerabilidad XSS en Skype

Ver el tema anterior Ver el tema siguiente Ir abajo

Grave vulnerabilidad XSS en Skype

Mensaje  r32 el Sáb Jul 23, 2011 7:17 pm

Durante el fin de semana se ha reportado un nuevo aviso de seguridad por parte del centro INTECO-CERT (Centro de Respuesta a Incidentes de seguridad), el cual se informa sobre una vulnerabilidad XSS persistente (cross-site-scripting) en Skype. Dicha vulnerabilidad puede permitir a una persona malintencionada tomar el control de la cuenta de un usuario y así poder acceder a toda la información privada de éste.

Tal como se anuncia en el boletín de seguridad, las versiones vulnerables afectadas por este ataque son: la última versión Skype 5.3.0.120 y versiones anteriores tanto para la plataforma de Windows (XP, Vista, 7) como Mac OS X 10.6.8. Este fallo está categorizado por CERT con importancia Alta.

El problema se encuentra en determinados campos del perfil del contacto que no validan adecuadamente la información. Es importante comentar que previamente la victima tiene que haber aceptado al atacante a su lista de contactos personales.

Para efectuar el ataque el criminal informático tiene que haber creado un perfil falso especialmente diseñado con código javascript. Una vez que la victima visita el perfil se la puede redirigir automáticamente a un sitio malicioso, mostrar mensajes engañosos o obtener la cookie de sesión de la victima:



Por su parte Skype ya ha confirmado este fallo y se encuentran trabajando en una actualización para solventar dicho problema que pone en riesgo la información privada de la usuario.

Es recomendable que ante este problema los usuarios que utilicen Skype, estén atentos hasta que la actualización se encuentre disponible. También es importante no aceptar contactos desconocidos y contar con una solución de seguridad con sistema de detección proactiva para mitigar ataques más elaborados y así no convertirse en futuras víctimas de robos de información.

Claudio Cortés Cid
Especialista de Awareness & Research
avatar
r32
Moderador Global
Moderador Global

Posts : 509
KCoins : 1177
Reputación : 42
Fecha de inscripción : 03/11/2009

Premios :
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.