httpvhd: //www.youtube.com/watch? v = Ou_Iir2SklI & feature = player_embedded
Če uporabljate Skype za iPhone ali iPod Touch, bodite opozorjeni: nova ranljivost med skripci za več spletnih mest je bila odkrita v različici 3.0.1, ki napadalcem omogoča izvajanje zlonamerne kode JavaScript samo s pošiljanjem klepeta sporočilo.
Dobra novica je, da se Skype zaveda težave in že uvaja posodobitev, ki odpravlja izkoriščanje.
Slaba novica? Do tega izkoriščanja pride, ko si preprosto ogledate sporočilo v klepetu, kar pomeni, da bi lahko kdor koli, ki vam pošlje neposredno sporočilo po Skypeu, zlahka zabrisal vaše zasebne podatke.
Varnostni raziskovalec Phil Purviance, ki je odkril izkoriščanje, pravi:
Izvajanje poljubne kode Javascript je ena stvar, vendar sem ugotovil, da Skype tudi nepravilno opredeljuje shemo URI, ki jo uporablja vgrajen brskalnik webkit za Skype. Običajno boste videli, da je shema nastavljena na nekaj podobnega, »about: blank« ali »skype-randomtoken«, v tem primeru pa je dejansko nastavljena na »file: //«. To omogoča napadalcu dostop do datotečnega sistema uporabnikov, napadalec pa lahko dostopa do katere koli datoteke, do katere bi lahko dostopala sama aplikacija.
Dostop do datotečnega sistema je delno omejen s peskovnikom aplikacij iOS, ki ga je uvedel Apple, in preprečuje napadalcu dostop do določenih občutljivih datotek. Vendar ima vsaka aplikacija za iOS dostop do imenika uporabnikov in Skype ni izjema.
Zdi se, da je to dober primer klasične časovnice izkoriščanja: nevarni podvig odkrijejo in ga prijavijo podjetju, ki nadaljuje nič o tem, dokler oseba, ki je našla izkoriščanje, ne postane javna, nakar lahko nenadoma izda popravek v štiriindvajsetih ure.
Kakorkoli, v naslednjih dneh bodite previdni pri Skypeu za iOS. Upajmo, da bo Skype to kmalu popravil.