Vulnerabilidad en Skype podría permitir el secuestro de cuentas

Recientemente Levent Kayan ha descubierto una vulnerabilidad en Skype que podría permitir a un usuario malicioso hacer llamadas mediante una cuenta suplantada.

Se trata de un XSS persistente presente en el 'Skype Home'. Concretamente un atacante podría insertar código javascript en el campo 'mobile phone' en la descripción del perfil de tal forma que, si entra alguno de los contactos, el código puede ser ejecutado de forma automática sin la intervención del usuario, facilitando por ejemplo la obtención de la cookie de sesión y el consiguiente hijacking.

La vulnerabilidad afecta a las versión actual 5.3.0.120 e inferiores en Windows y Mac (Linux parece que se libra) y existen varias pruebas de concepto que corroboran su existencia:

- http://www.noptrix.net/tmp/skype_xss.png
- http://www.noptrix.net/tmp/skype_linux.ogv
- http://www.noptrix.net/tmp/skype_winxp.ogv
- http://www.noptrix.net/tmp/skype_win7.avi

Skype ha confirmado el fallo de seguridad y durante esta semana publicará un parche para solucionarlo. De igual forma ha explicado que el problema no es fácil de reproducir porque para aprovecharse de la vulnerabilidad es necesario que el atacante aparezca en la lista de contactos frecuentes.

Comentarios