Informação de qualidade você encontra aqui!
Siga-me:
XSS, Skype, Será mesmo real essa ‘falha’?
Escrito por Silas Martins em 25 de agosto de 2011 – 10:32 - 766 visualizaçõesPesquisador de segurança afirma ter encontrado uma falha no Skype a qual permitiria a injeção de XSS ( Cross Site Scripting). Será? Vamos descobrir ^^
A porta-voz do Skype discorda, e afirmou em um email ao site TheRegister, que tal falha não existe, e que o pesquisador se equivocou.
O que fora dito pelo pesquisador é que os campos, telefone móvel, casa, e cidade, estariam vulneráveis a ataques XSS. O mesmo diz ter realizado teste e disponibilizou algumas imagens do resultado do teste. O pesquisador ainda afirmou que atacantes poderiam utilizar destas falhas para inserir código maliciosos que levassem os usuários a sites maliciosos, ou até mesmo se infectarem por algum tipo de WORM (verme em inglês).
Veja abaixo a imagem tida como prova da existência da falha:
Em resposta a porta-voz do Skype enviou um e-mail ao TheRegister (site de noticias) com o seguinte conteúdo:
Eu queria te dizer, que isso não é verdade o que ele disse, porque as entradas na (casa, escritório e telefone celular e até mesmo na “cidade”) são incorporados através de HTML “.
.
Como bom “fuçador” que sou, logo que fiquei sabendo da possível vulnerabilidade tratei logo de tentar reproduzir a falha na minha maquina, e pelo que vi a porta-voz tem razão. Pois dos campos citados pelo pesquisador nenhum deles reproduz o efeito do código para refletir no XSS.
E como prova do que estou falando tirei algumas snapshots do meu Slype onde “reproduzi” com os mesmos códigos utilizados pelo pesquisador em questão.
Vejam:
Alguns campos até aceitam entradas em HTML (como a porta-voz tinha dito) mas não reproduzem o html, e no campo tel.celular, não é aceito/incorporado de forma alguma o código em HTML. Prestem atenção na imagem que disponibilizei, e vão ver que o campo tel.celular não aceitou o código que tentei inserir.
Tendo isso como base, não quero aqui dizer que o pesquisador esta errado, mas creio que ele deveria ter mais cautela antes de tomar partido de uma noticia tão forte, para um programa amplamente utilizado. Até por uma questão de zelo com sua imagem.
Tempos atrás, ou melhor em julho foi descoberta uma falha semelhante a esta que o pesquisador “disse ter encontrado”. Porém em julho havia realmente um buraco no Skype que permitia a um atacante inserir códigos maliciosos do tipo Cross Site Scripiting.
E logo que foi descoberta, a equipe do Skype resolveu o problema. Para encerrar essa postagem peço que se tiverem alguma dúvida sobre o tema abordado neste post, comente que irei responder. 
Tags: Cross Site Scripting, Falha, Falha de segurança, Segunraça, Skype, Vulnerabilidade, worn, XSS
Postado em Segurança Digital, Skype, Software | Sem comentários »
Posts Recentes
Posts mais vistos
- Baixe vídeos do youtube através do Google Chrome - 72.026 visualizações
- [Tutorial] Configurando proxy no Chrome sem afetar o Internet Explorer - 25.049 visualizações
- Resolvendo o problema “Processo de host para Serviços do Windows parou de funcionar” - 12.002 visualizações
- Atualização do Avast causa danos para aplicações Delphi - 7.859 visualizações
- Como ativar o gerenciador de tarefas, descubra aqui - 7.403 visualizações
- White House concerned over “controversial” #cybersecurity bill that could give out public info - says @declanm via @CNET 1 month ago
Usuários Online
1 usuário navegando nesta página.
Users: 1 visitante
Users: 1 visitante
Calendário de Posts
| S | T | Q | Q | S | S | D |
|---|---|---|---|---|---|---|
| « out | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 | |||
Fatal error: Call to undefined function akismet_counter() in /home/silasjrc/public_html/wp-content/themes/silasjr/sidebar.php on line 8