C’est le bloggueur gwae qui a donné l’alerte après avoir averti Skype de sa découverte : pas moins de 7 failles de type Cross Site Scripting (ou XSS) sur un sous domaine du site officiel.
C’est une URL de l’espace “Manage your subscription” (http://connect.skype.com/) qui contient les variables qui permettent l’injection de code JavaScript. La vulnérabilité est non persistante mais tout à fait exploitable par un pirate informatique afin de dérober des identifiants Skype.
Nous vous conseillons une grande prudence jusqu’à ce que les failles soient corrigées. Soyez vigilent à tous les liens sur lesquels vous cliquez, surtout ceux en relation avec Skype.
Sur son blog, gwae fourni une capture d’écran d’un PoC :
Espérons que l’équipe de sécurité de Skype soit réactive et que tout cela soit corrigé au plus vite. Merci à gwae pour son alerte.
Les commentaires sont fermés.