Se ha detectado una vulnerabilidad de tipo cross-site scripting (XSS) en el cliente de VoIP Skype.
La vulnerabilidad es grave, ya que permitiría a un atacante remoto ganar acceso a la cuenta de un usuario de Skype, tomar el control de la misma (cambiándole la contraseña, por ejemplo) y acceder a todos los datos de sus contactos.
El ataque por XSS está basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. En esta ocasión, el problema se encuentra en el formulario de usuario, que contiene un campo de consigna para el número de teléfono móvil en el que se podría inyectar código en JavaScript. Ese código malicioso podría ejecutarse cuando un contacto accede a la ficha mailiciosa del usuario, explotando así la vulnerabilidad.
En realidad esa persona debería ser un contacto validado, con lo que el riesgo baja bastante, pero no quita para que Skype esté trabajando desde ya en una actualización para solventar el problema. De momento los usuarios de Skype 5.3.0.120 y versiones anteriores para plataformas Windows y Mac OS X deberán extremar las precauciones con la gente a la que agregan y los perfiles que visitan.
Autor: Jorge Autor
Contenido relacionado
Otros contenidos de interés
