Multiples failles XSS sur le site de Skype

2

C’est le bloggueur gwae qui a donné l’alerte après avoir averti Skype de sa découverte : pas moins de 7 failles de type Cross Site Scripting (ou XSS) sur un sous domaine du site officiel.

C’est une URL de l’espace “Manage your subscription” (http://connect.skype.com/) qui contient les variables qui permettent l’injection de code JavaScript. La vulnérabilité est non persistante mais tout à fait exploitable par un pirate informatique afin de dérober des identifiants Skype.

Nous vous conseillons une grande prudence jusqu’à ce que les failles soient corrigées. Soyez vigilent à tous les liens sur lesquels vous cliquez, surtout ceux en relation avec Skype.

Sur son blog, gwae fourni une capture d’écran d’un PoC :

Espérons que l’équipe de sécurité de Skype soit réactive et que tout cela soit corrigé au plus vite. Merci à gwae pour son alerte.

2 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.