httpvhd: //www.youtube.com/watch? v = Ou_Iir2SklI & feature = player_embedded
Ако сте потребител на Skype на iPhone или iPod Touch, бъдете предупредени: нова уязвимост за скриптове на различни сайтове е била открит във версия 3.0.1, който позволява на нападателите да изпълняват злонамерен JavaScript код само като ви изпратят чат съобщение.
Добрата новина е, че Skype е наясно с проблема и вече пуска актуализация, която поправя експлоатацията.
Лошите новини? Тази експлоатация възниква, когато просто преглеждате съобщение в чата, което означава, че всеки, който ви изпрати незабавно съобщение в Skype, може лесно да изтрие вашата лична информация.
Изследователят по сигурността Фил Първианс, който откри експлоатацията, казва:
Изпълнението на произволен код на Javascript е едно, но открих, че Skype също неправилно дефинира URI схемата, използвана от вградения браузър webkit за Skype. Обикновено ще видите схемата, зададена на нещо като „about: blank“ или „skype-randomtoken“, но в този случай тя всъщност е зададена на „file: //“. Това дава на нападателя достъп до файловата система на потребителите, а нападателят може да получи достъп до всеки файл, до който самото приложение би имало достъп.
Достъпът до файловата система е частично смекчен от пясъчната кутия на приложението на iOS, която Apple е внедрила, като предотвратява достъпа на нападател до определени чувствителни файлове. Всяко приложение за iOS обаче има достъп до адресната книга на потребителите и Skype не прави изключение.
Това изглежда като добър пример за класическия график за експлоатация: опасен експлоатация се открива, след което се съобщава на компания, която продължава да прави нищо по въпроса, докато лицето, открило експлоатацията, стане публично достояние, и в този момент, изведнъж, те могат да издадат кръпка в рамките на двадесет и четири часа.
Както и да е, бъдете внимателни в Skype за iOS през следващите няколко дни. Надяваме се Skype скоро да поправи това.