httpvhd: //www.youtube.com/watch? v = Ou_Iir2SklI & feature = player_embedded
Si es un usuario de Skype en el iPhone o iPod Touch, tenga cuidado: se ha producido una nueva vulnerabilidad de secuencias de comandos entre sitios. descubierto en la versión 3.0.1 que permite a los atacantes ejecutar código JavaScript malicioso con solo enviarle un chat mensaje.
La buena noticia es que Skype está al tanto del problema y ya está implementando una actualización que corrige el exploit.
¿Las malas noticias? Esta vulnerabilidad ocurre cuando simplemente ve un mensaje de chat, lo que significa que cualquiera que le envíe un mensaje instantáneo en Skype podría absorber fácilmente su información privada.
El investigador de seguridad Phil Purviance, que encontró el exploit, dice:
Ejecutar código Javascript arbitrario es una cosa, pero descubrí que Skype también define incorrectamente el esquema de URI utilizado por el navegador webkit integrado para Skype. Por lo general, verá el esquema configurado en algo como, "about: blank" o "skype-randomtoken", pero en este caso, en realidad está configurado como "file: //". Esto le da a un atacante acceso al sistema de archivos de los usuarios, y un atacante puede acceder a cualquier archivo al que la propia aplicación pueda acceder.
El acceso al sistema de archivos está parcialmente mitigado por la zona de pruebas de la aplicación iOS que Apple ha implementado, lo que evita que un atacante acceda a ciertos archivos confidenciales. Sin embargo, todas las aplicaciones de iOS tienen acceso a la libreta de direcciones de los usuarios, y Skype no es una excepción.
Este parece un buen ejemplo de la línea de tiempo clásica de exploits: se descubre un exploit peligroso y luego se informa a una empresa, que procede a hacer nada al respecto hasta que la persona que encontró el exploit se haga público, momento en el que, de repente, pueden emitir un parche dentro de veinticuatro horas.
De todos modos, tenga cuidado con Skype para iOS durante los próximos días. Con suerte, Skype lo arreglará pronto.
