httpvhd: //www.youtube.com/watch? v = Ou_Iir2SklI & feature = player_embedded
Если вы пользуетесь Skype на iPhone или iPod Touch, имейте в виду: появилась новая уязвимость межсайтового скриптинга. обнаруженный в версии 3.0.1, который позволяет злоумышленникам выполнять вредоносный код JavaScript, просто отправив вам чат сообщение.
Хорошая новость заключается в том, что Skype знает об этой проблеме и уже выпускает обновление, исправляющее уязвимость.
Плохие новости? Этот эксплойт возникает, когда вы просто просматриваете сообщение чата, а это означает, что любой, кто отправляет вам мгновенное сообщение в Skype, может легко скрыть вашу личную информацию.
Исследователь безопасности Фил Первианс, обнаруживший уязвимость, говорит:
Выполнение произвольного кода Javascript - это одно, но я обнаружил, что Skype также неправильно определяет схему URI, используемую встроенным браузером webkit для Skype. Обычно вы видите, что для схемы установлено что-то вроде «about: blank» или «skype-randomtoken», но в этом случае фактически установлено «file: //». Это дает злоумышленнику доступ к файловой системе пользователя, и злоумышленник может получить доступ к любому файлу, к которому само приложение сможет получить доступ.
Доступ к файловой системе частично ограничен песочницей приложения iOS, которую Apple внедрила, предотвращая доступ злоумышленника к определенным конфиденциальным файлам. Однако каждое приложение iOS имеет доступ к адресной книге пользователей, и Skype не исключение.
Это кажется хорошим примером классической временной шкалы эксплойтов: опасный эксплойт обнаруживается, затем сообщается компании, которая приступает к его устранению. ничего об этом до тех пор, пока человек, обнаруживший уязвимость, не станет достоянием общественности, после чего он внезапно сможет выпустить патч в течение двадцати четырех часы.
В любом случае будьте осторожны со Skype для iOS в ближайшие несколько дней. Надеюсь, Skype скоро исправит это.