httpvhd: //www.youtube.com/watch؟ v = Ou_Iir2SklI & feature = player_embedded
إذا كنت من مستخدمي Skype على جهاز iPhone أو iPod Touch ، فاحذر من وجود ثغرة أمنية جديدة في البرمجة النصية عبر المواقع تم اكتشافه في الإصدار 3.0.1 الذي يسمح للمهاجمين بتنفيذ تعليمات JavaScript البرمجية الضارة بمجرد إرسال دردشة إليك رسالة.
والخبر السار هو أن Skype على دراية بالمشكلة ويقوم بالفعل بطرح تحديث يعمل على إصلاح هذه المشكلة.
الأخبار السيئة؟ يحدث هذا الاستغلال عندما تقوم ببساطة بعرض رسالة محادثة ، مما يعني أن أي شخص يرسل لك رسالة فورية على Skype يمكنه بسهولة أن يتخلص من معلوماتك الخاصة.
يقول الباحث الأمني فيل بورفيانس ، الذي اكتشف الثغرة:
يعد تنفيذ كود Javascript التعسفي أمرًا واحدًا ، لكنني وجدت أن Skype يحدد أيضًا بشكل غير صحيح مخطط URI المستخدم بواسطة مستعرض webkit المدمج في Skype. عادة سترى المخطط مضبوطًا على شيء مثل ، "about: blank" أو "skype-randomtoken" ، ولكن في هذه الحالة يتم تعيينه فعليًا على "file: //". يتيح ذلك للمهاجم الوصول إلى نظام ملفات المستخدمين ، ويمكن للمهاجم الوصول إلى أي ملف يمكن للتطبيق نفسه الوصول إليه.
يتم تخفيف الوصول إلى نظام الملفات جزئيًا عن طريق وضع الحماية لتطبيق iOS الذي طبقته Apple ، مما يمنع المهاجم من الوصول إلى بعض الملفات الحساسة. ومع ذلك ، يتمتع كل تطبيق iOS بإمكانية الوصول إلى دفتر عناوين المستخدمين ، ولا يُعد Skype استثناءً.
يبدو هذا مثالًا جيدًا للجدول الزمني الكلاسيكي للاستغلال: يتم اكتشاف استغلال خطير ثم إبلاغ الشركة ، والتي تشرع في القيام بذلك لا شيء حيال ذلك حتى يتم الإعلان عن الشخص الذي وجد الاستغلال ، وعند هذه النقطة ، فجأة ، يمكنهم إصدار تصحيح في غضون أربعة وعشرين عامًا ساعات.
على أي حال ، كن حذرًا على Skype لنظام iOS في الأيام القليلة القادمة. نأمل أن يتم إصلاح هذا في Skype قريبًا.
