Un asesor de seguridad ha notificado a Skype de una falla “cross-site scripting” que podría ser utilizada para cambiar la contraseña de la cuenta de alguien, de acuerdo a los detalles publicados en Internet. Skype dijo que emitiría una solución la próxima semana.
El consultor, Levent Kayan, con sede en Berlín, publicó los detalles de la falla en su blog el miércoles y Skype fue notificado un día después. Dijoque para este viernes no ha recibido una respuesta todavía.
El problema radica en un campo donde una persona puede introducir su número de teléfono móvil. Kayan escribió que un usuario malintencionado puede insertar JavaScript en el campo del teléfono móvil de su perfil.
Cuando uno de sus contactos se pone en línea, el perfil del usuario malintencionado se actualiza, y el código JavaScript se ejecuta cuando los otros contactos ingresan al sistema. Kayan escribió que la sesión de la otra persona podría ser secuestrada, y que puede ser posible para ganar el control de la computadora de esa persona. Un atacante también podría cambiar la contraseña de la cuenta de alguien.
Hay algunos factores atenuantes, como que el agresor y la víctima tiene que ser amigos en Skype. Además, el ataque no puede ejecutarse de inmediato cuando la víctima entra al sistema. Kayan dijo que notó que el comportamiento ocurrió sólo después de que la víctima entra al sistema en varias ocasiones. Sin embargo, dijo en un e-mail que una vez que ocurre la primera vez “ocurre con cada nuevo inicio de sesión.”
Skype debe controlar la entrada en el campo del teléfono móvil y validar que sí es un número de teléfono y no código ejecutable. El problema afecta a la versión más reciente de Skype, 5.3.0.120, en Windows XP, Vista y 7, así como sistema operativo Mac OS X.
Skype no estuvieron de acuerdo tanto con la descripción de riesgo de Kayan, caracterizándolo como algo menor.
“En esencia, permite que uno de sus principales contactos en Windows le muestre mensajes o lo rediriga a páginas web dentro de la página de Skype”, dijo Adrian Asher, jefe oficial de seguridad de la información de Skype, en un comunicado.
“Con el fin de aprovecharla, esta persona tendría que ser un contacto validado suyo y uno de los más frecuentes, y por lo tanto muy poco probable que cause problemas en el mundo real, sin embargo, no debería ser así y se arreglará”, dijo.