Skype cross-zone scripting biztonsági javítás

CH azonosító

CH-973

Felfedezés dátuma

2008.02.05.

Súlyosság

Magas

Érintett rendszerek

Skype
Skype Technologies

Érintett verziók

Skype Technologies Skype 1 - 3.x

Összefoglaló

Biztonsági fejlesztéseket tartalmazó frissítést adtak ki a Skype-hoz, hogy megvédjék a felhasználók rendszereit a feltöréstől.

Leírás

Biztonsági fejlesztéseket tartalmazó frissítést adtak ki a Skype-hoz, hogy megvédjék a felhasználók rendszereit a feltöréstől.

A Skype az Internet Explorer web vezérlőjét használja bizonyos weblapok HTML megjelenítéséhez (például DailyMotion, Metacafe, és SkypeFind).
Mivel a tartalom a “Sajátgép” biztonsági zóna korlátozásai szerint jelenik meg, ez kihasználható tetszőleges script kód futtatására a felhasználó rendszerén a weboldalak script beszúrásos sebezhetőségi révén.

Különböző sérülékenységeket fedeztek fel ezekben az oldalakban, melyek támadási felületet szolgáltatnak például, ha a felhasználó a Skype videó galéria böngészőt használja vagy egy különlegesen létrehozott című videót találal a DailyMotion galériában.

A sérülékenység kihasználásához szükséges, hogy a megjelenített weboldal sebezhető legyen script beszúrással.

A sérülékenységet az alábbi Windows rendszerekhez használt Skype verziókban jelentették:

  • Minden 3.5.x verzió
  • 3.6.x.244 és azt megelőzőek

Megoldás

Frissítsen a legújabb verzióra