Grave vulnerabilidad XSS en Skype

Durante el fin de semana se ha reportado un nuevo aviso de seguridad por parte del centro INTECO-CERT (Centro de Respuesta a Incidentes de seguridad), el cual se informa sobre una vulnerabilidad XSS persistente (cross-site-scripting) en Skype. Dicha vulnerabilidad puede permitir a una persona malintencionada tomar el control de la cuenta de un usuario y así poder acceder a toda la información privada de éste.

Tal como se anuncia en el boletín de seguridad, las versiones vulnerables afectadas por este ataque son: la última versión Skype 5.3.0.120 y versiones anteriores tanto para la plataforma de Windows (XP, Vista, 7) como Mac OS X 10.6.8. Este fallo está categorizado por CERT con importancia Alta.

El problema se encuentra en determinados campos del perfil del contacto que no validan adecuadamente la información. Es importante comentar que previamente la victima tiene que haber aceptado al atacante a su lista de contactos personales.

Para efectuar el ataque el criminal informático tiene que haber creado un perfil falso especialmente diseñado con código javascript. Una vez que la victima visita el perfil se la puede redirigir automáticamente a un sitio malicioso, mostrar mensajes engañosos o obtener la cookie de sesión de la victima:

Por su parte Skype ya ha confirmado este fallo y se encuentran trabajando en una actualización para solventar dicho problema que pone en riesgo la información privada de la usuario.

Es recomendable que ante este problema los usuarios que utilicen Skype, estén atentos hasta que la actualización se encuentre disponible. También es importante no aceptar contactos desconocidos y contar con una solución de seguridad con sistema de detección proactiva para mitigar ataques más elaborados y así no convertirse en futuras víctimas de robos de información.

Claudio Cortés Cid
Especialista de Awareness & Research

Autor , ESET

Síguenos