Multiples failles XSS sur le site de Skype

2
106

C’est le bloggueur gwae qui a donné l’alerte après avoir averti Skype de sa découverte : pas moins de 7 failles de type Cross Site Scripting (ou XSS) sur un sous domaine du site officiel.

C’est une URL de l’espace “Manage your subscription” (http://connect.skype.com/) qui contient les variables qui permettent l’injection de code JavaScript. La vulnérabilité est non persistante mais tout à fait exploitable par un pirate informatique afin de dérober des identifiants Skype.

Nous vous conseillons une grande prudence jusqu’à ce que les failles soient corrigées. Soyez vigilent à tous les liens sur lesquels vous cliquez, surtout ceux en relation avec Skype.

Sur son blog, gwae fourni une capture d’écran d’un PoC :

Espérons que l’équipe de sécurité de Skype soit réactive et que tout cela soit corrigé au plus vite. Merci à gwae pour son alerte.

Les commentaires sont fermés.