إكتشاف ثغرة XSS خطيرة في برنامج Skype للمحادثة تمكن المهاجم من تشغيل كود جافاسكريبت بجهاز الشخص المستهدف مما قد يؤدي لسرقة حسابه عن طريق سحب الكوكيز أو حتى إختراق الجهاز كاملاً في بعض الحالات.
في خبر نشر في موقع H-Online إكتشف أحد الباحثين الأمنيين Levent Kayan ثغرة خطيرة في برنامج Skype من نوع XSS أصابت الإصدار 5.3.0.120 وما قبله من برنامج سكايب الخاص بأنظمة ويندوز كذلك الإصدار 10.6.8 وما قبله في نظام Mac OS X. الإصدار الخاص بأنظمة GNU/Linux غير مصاب بهذه الثغرة.
تمكن الثغرة المهاجم من حقن كود جافاسكريبت مكان رقم الموبايل مما يؤدي لتشغيله في أجهزة الأشخاص الموجودين في قائمة المتصلين بشكل تلقائي. تشغيل كود جافاسكريبت يعني وصول للكوكيز مما قد يؤدي لسرقة الحساب أو ما يعرف بـ Session hijacking أو الأسوء جعل جهاز الشخص المستهدف يقوم بتنفيذ عمل ما في بعض الحالات قد يؤدي لاختراقه.
الباحث الأمني ذكر أنه أبلغ شركة سكايب قبل “يومين” عن الثغرة وحتى الآن لا يوجد ترقيع لها وإن كنت من مستخدمي نظام ويندوز أو ماك أنصحك ألا تستخدم البرنامج قبل إصدار تحديث أو على الأقل تأكد من الأشخاص الموجودين في قائمة الإتصال لديك.
رغم أننا في iSecur1ty نؤيد فكرة النشر الكامل للمعلومات لكن ليس بهذا الشكل الذي سيعرض عدد كبير من المستخدمين للخطر! إن كان النشر مسؤولاً فيجب إعطاء فرصة للشركة حتى تصدر تحديث وتنبيه المستخدمين أولاً وبعد إعلام الشركة أو في حال تجاهلت ذلك يتم نشر المعلومات.
الثغرة فعلاً خطيرة خصوصاً لبرنامج منتشر جداً مثل Skype. حتى الآن لم أقم بأي تجارب على الثغرة بعد.. ربما لحسن حظ الأشخاص الموجودين في قائمة الإتصال لدي!
تفاصيل الثغرة: skype_xss.txt
خخخخ هذي بداية الخير ,, لم تمضي فترة زمنيه على شراء شركة مايكروسوفت لبرنامج سكايب حتى ظهرت فيه الثغرات .
احترامي لكم جميعاً .
http://www.youtube.com/watch?v=eIgb9D-0DWs
ماذا سوف يحدث ان تم سرقة حسابات شركات كبيرة مليئة ببطاقات الائتمان أو تم اختراق اجهزتهم أعتقد ان سكايبي في ورطة كبيرة واعتقد ايضا انها ستنهار قريبا هل توافقونني الرأي ؟!!!
شكراً لك أخي عبد على هذا الخبر
–> والله محظوظين الأشخاص ألي عندك بقائمة الأتصال
سؤال هل هناك أمكانية من أكشاف الثغرة من الأنتي فايروس أم لا في حال تطبيق كود خبيث عن طريق هذه الثغرة !؟
“ONLOAD” تعتبر من اخسن استفلالات ال xss لانها لا تحتوى على واللى بيتعملها filter بنسيه كبيره
ثغرة اكثر من خطيرة خصوصا ان برنامج سكايب يوفر مكالمات مأجورة أي ان اختراق الحسابات سيعمل أزمة كبيرة إنها بالفعل ضربة موجعة لسكابي
مشكور اخى الكريم على الخبر
خبطه قويه على رأس شركه مايكروسوفت 🙂 الله المستعان
تحياتى
انتهى زمنك ياسكايب
هل إختبرت ذلك بنفسك؟
اخ عبد المهيمن
أأسف لاخبارك بأن النسخه الخاصه باللينكس تم اصبتها :((
الاصدار 2.2.0.x
تحياتى
انصح الجميع يحسنون خصائص الخصوصية في حالة استخدام السكايب بكثرة.
نعم اخى الكريم
تم التجريب على الاصدار 2.2.0.35
تحياتى
التثغرة ظهرت حتا في موقع ابودي
http://www.youtube.com/watch?v=AXeywmR-bqQ
لو احتجت يااخوان استعمال skype ماذا يجب عليه فعله لتجنب هذه الثغرة
مع العلم ان النظام لدي اوبنتو
موقع الحماية
http://exploit-ma.co.cc/
لابد من الحلول يا أصحاب السيكيوريتي ؟ مع العلم أن ثغرة XSS من الثغرات الشائعة
هذا بسبب البرامج مغلقة المصدر فنحن نثبت برامجهم وهم يزرعون ثغراتهم عندنا هذا ما ينقصنا؟
شكراً لك أخي عبد على هذا الخبر
الثغرات كثيرة و المكثشفين قلال و بالتأكيد لا يوجد موقع أو برنامج يشتغل بحماية 100/100
مشكور اخى الكريم على الخبر
دام وراهم مايكروسوفت راح تكثر الثغرات 🙂
احترامي للجميع
هدا احد اصدقائي من المانيا اكتشاف ايضا ثغرة في facebook من نوع xss
شكرا لكم 🙂
بارك الله فيك اخوي عبد المهيمن
بس لو تشرح لنا كيفة استغلالهاا
والحمايه منهاا
شكرا لك