Vulnerabilidad XSS en Skype

El descubrimiento de una vulnerabilidad XSS en la aplicación Skype ha puesto en alerta a muchos de sus usuarios ante el temor de que se pudiese acceder a una cuenta sin permiso y robar la información privada en ella almacenada.

El aviso fue lanzado a finales de la semana pasada por el investigador Levent Kayan y en él describía con varias pruebas de concepto y un vídeo la posibilidad de ejecutar código no autorizado por culpa de una falta de validación al introducir datos en el campo “mobile phone”, aunque no se descarta que otros campos estén también afectados. Las versiones afectadas son las más recientes (5.3.0.120) para Windows (XP, Vista, 7) y Mac OS X 10.6.8.

De esta forma, un atacante podría introducir código javascript en este campo y secuestrar el identificador de sesión de la víctima, lo que equivaldría a suplantar su identidad. Asimismo, se puede llegar a redirigir a la víctima a enlaces maliciosos, con el riesgo que eso supone.

Skype ya ha alertado a sus usuarios de esta vulnerabilidad y también han recordado que, para que pueda aprovecharse, el atacante debe pertenecer a nuestros contactos. Esto mitiga bastante un posible ataque masivo a los usuarios de esta aplicación. Mientras tanto, la empresa ya se encuentra preparando un parche que solucione esta vulnerabilidad.

Desde el laboratorio de ESET en Ontinet.com aconsejamos a los usuarios de esta aplicación que eviten agregar a usuarios desconocidos a su lista de contactos, para evitar que esta vulnerabilidad sea aprovechada. Asimismo, resulta especialmente importante que apliquemos la actualización de la aplicación tan pronto como esta se encuentre disponible.

Josep Albors