أخبار الثغرات

ثغرة XSS خطيرة في Skype قد تؤدي لسرقة الحساب

تم أرشفة هذا المحتوى


إكتشاف ثغرة XSS خطيرة في برنامج Skype للمحادثة تمكن المهاجم من تشغيل كود جافاسكريبت بجهاز الشخص المستهدف مما قد يؤدي لسرقة حسابه عن طريق سحب الكوكيز أو حتى إختراق الجهاز كاملاً في بعض الحالات.

Skype

 

في خبر نشر في موقع H-Online إكتشف أحد الباحثين الأمنيين Levent Kayan ثغرة خطيرة في برنامج Skype من نوع XSS أصابت الإصدار 5.3.0.120 وما قبله من برنامج سكايب الخاص بأنظمة ويندوز كذلك الإصدار 10.6.8 وما قبله في نظام Mac OS X. الإصدار الخاص بأنظمة GNU/Linux غير مصاب بهذه الثغرة.

تمكن الثغرة المهاجم من حقن كود جافاسكريبت مكان رقم الموبايل مما يؤدي لتشغيله في أجهزة الأشخاص الموجودين في قائمة المتصلين بشكل تلقائي. تشغيل كود جافاسكريبت يعني وصول للكوكيز مما قد يؤدي لسرقة الحساب أو ما يعرف بـ Session hijacking أو الأسوء جعل جهاز الشخص المستهدف يقوم بتنفيذ عمل ما في بعض الحالات قد يؤدي لاختراقه.

الباحث الأمني ذكر أنه أبلغ شركة سكايب قبل “يومين” عن الثغرة وحتى الآن لا يوجد ترقيع لها وإن كنت من مستخدمي نظام ويندوز أو ماك أنصحك ألا تستخدم البرنامج قبل إصدار تحديث أو على الأقل تأكد من الأشخاص الموجودين في قائمة الإتصال لديك.

 

رغم أننا في iSecur1ty نؤيد فكرة النشر الكامل للمعلومات لكن ليس بهذا الشكل الذي سيعرض عدد كبير من المستخدمين للخطر! إن كان النشر مسؤولاً فيجب إعطاء فرصة للشركة حتى تصدر تحديث وتنبيه المستخدمين أولاً وبعد إعلام الشركة أو في حال تجاهلت ذلك يتم نشر المعلومات.

 

الثغرة فعلاً خطيرة خصوصاً لبرنامج منتشر جداً مثل Skype. حتى الآن لم أقم بأي تجارب على الثغرة بعد.. ربما لحسن حظ الأشخاص الموجودين في قائمة الإتصال لدي!

 

تفاصيل الثغرة: skype_xss.txt

‫23 تعليقات

  1. خخخخ هذي بداية الخير ,, لم تمضي فترة زمنيه على شراء شركة مايكروسوفت لبرنامج سكايب حتى ظهرت فيه الثغرات .

    احترامي لكم جميعاً .

  2. ماذا سوف يحدث ان تم سرقة حسابات شركات كبيرة مليئة ببطاقات الائتمان أو تم اختراق اجهزتهم أعتقد ان سكايبي في ورطة كبيرة واعتقد ايضا انها ستنهار قريبا هل توافقونني الرأي ؟!!!

  3. شكراً لك أخي عبد على هذا الخبر

    –> والله محظوظين الأشخاص ألي عندك بقائمة الأتصال
    سؤال هل هناك أمكانية من أكشاف الثغرة من الأنتي فايروس أم لا في حال تطبيق كود خبيث عن طريق هذه الثغرة !؟

  4. ثغرة اكثر من خطيرة خصوصا ان برنامج سكايب يوفر مكالمات مأجورة أي ان اختراق الحسابات سيعمل أزمة كبيرة إنها بالفعل ضربة موجعة لسكابي

  5. مشكور اخى الكريم على الخبر
    خبطه قويه على رأس شركه مايكروسوفت 🙂 الله المستعان
    تحياتى

  6. اخ عبد المهيمن
    أأسف لاخبارك بأن النسخه الخاصه باللينكس تم اصبتها :((
    الاصدار 2.2.0.x
    تحياتى

  7. لابد من الحلول يا أصحاب السيكيوريتي ؟ مع العلم أن ثغرة XSS من الثغرات الشائعة
    هذا بسبب البرامج مغلقة المصدر فنحن نثبت برامجهم وهم يزرعون ثغراتهم عندنا هذا ما ينقصنا؟

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى