Skype 5.5 có thể làm "mất" tài khoản người dùng

Bản cập nhật Skype 5.5 mới nhất vẫn không giúp bảo vệ được tài khoản người dùng và thậm chí chứa một lỗi cho phép tin tặc chiếm quyền điều khiển tài khoản Skype của nạn nhân, đó là kết luận của chuyên gia bảo mật David Vieira-Kurz.

>>> 500 triệu người dùng Skype gặp lỗi nguy hiểm


Thử nghiệm đánh cắp thông tin cookie trên Skype qua lỗi xử lý
Javascript của Skype - Ảnh: H-Online

Bản nâng cấp Skype 5.5 nhằm cung cấp cho người dùng khả năng kết hợp cập nhật thông tin từ mạng xã hội Facebook ngay trong Skype. Đăng nhập, cập nhật và tương tác với tài khoản Facebook mà không cần phải truy xuất vào website. Tuy vậy, tiến trình kết hợp này tiềm ẩn một nguy cơ bảo mật nguy hiểm do phía phần mềm Skype cài đặt trên máy tính người dùng sẽ phải thực thi các mã Javascript từ những thông điệp trạng thái (status) trong Facebook mà không qua bất kỳ bộ lọc bảo mật nào.

Skype thực thi mã Javascript trong phần bình luận trên Facebook (comment) mà không qua bộ lọc, lợi dụng cách này tin tặc có thể đánh cắp cookie của một tài khoản người dùng Skype. Nguy hiểm hơn, kẻ tấn công thậm chí không cần phải là bạn bè có trong danh bạ Facebook của nạn nhân để thực hiện cuộc tấn công.

Hai tuần trước đây, một lỗi nguy hiểm dạng "cross-site-scripting" cũng được phát hiện trong Skype 5.3 bởi Levent Kayan. Skype đã xác nhận về lỗi bảo mật trong Skype 5.5 và cho biết lỗi không chỉ đe dọa phiên bản này mà còn cả phiên bản Skype 5.3.

Trong khi chờ đợi phiên bản vá lỗi được Skype phát hành, bạn đọc không nên đăng nhập vào Facebook từ trong Skype.

Video clip mô tả về lỗi mới trong Skype 5.5 - Nguồn: YouTube.

Thứ Hai, 01/08/2011 08:53
31 👨 244
0 Bình luận
Sắp xếp theo